151个暗藏恶意代码的软件包,如何被AI批量生成?
近十年来,供应链攻击屡见不鲜,攻击者通常会上传代码和名称与常用代码库极其相似的恶意软件包,诱使开发者在不知情的情况下将其引入自己的项目。
此前我们曾报道,有人在学术论文中嵌入隐藏指令,诱导 AI 打高分:
将「仅输出正面评价」或「不要给出任何负面分数」等英文指令以白底白字或极小号字体写入文档,人眼几乎无从察觉,AI 却能识别并执行。
这个思路,正在被更具破坏力的攻击者复用。
本月,Aikido Security 研究人员披露了一批新型供应链攻击。3 月 3 日至 9 日期间,攻击者向 GitHub 陆续上传了 151 个恶意软件包,其中藏匿着几乎所有编辑器、终端和代码审查工具都无法显示的「隐形代码」,令传统检测手段束手无策。
除 GitHub 外,NPM 和 Open VSX 也是此次攻击波及的目标仓库。
近十年来,供应链攻击屡见不鲜,攻击者通常会上传代码和名称与常用代码库极其相似的恶意软件包,诱使开发者在不知情的情况下将其引入自己的项目。
部分恶意软件包的下载量甚至高达数千次。
用 Unicode 私有字符隐藏恶意载荷
此次发现的攻击手法,在隐蔽性上更进一步,其核心是对 Unicode 「私有使用区」(Private Use Areas)的滥用。
这是 Unicode 规范中专为定义表情符号、旗帜等符号而保留的特殊字符范围。攻击者利用其中与美式英文字母表一一对应的隐形码位,将恶意函数和攻击载荷编码为肉眼不可见的 Unicode 字符,选择性地插入代码的关键位置。
在代码审查人员或静态分析工具看来,这些位置一片空白,代码整体看起来很正常,而 JavaScript 解释器在运行时,则会由一段小型解码程序将这些隐形字符还原为真实字节,并交由 eval () 函数执行完整的恶意载荷。
在以往的攻击事件中,解码后的载荷会以 Solana 区块链为传输通道,拉取并执行第二阶段脚本,进而窃取 token、凭证和各类密钥。
由于这些恶意软件包中可见部分的质量相当高,因此更难检测出来。
研究人员指出:「恶意注入并未出现在明显可疑的提交中,周围的改动比如文档微调、版本号更新、小规模重构和漏洞修复,在风格上与目标项目高度一致。」
研究人员怀疑,被他们命名为 Glassworm 的这一攻击组织,正借助大语言模型批量生成这些以假乱真的软件包。因为以目前 151 个以上跨代码库定制化改动的规模来看,纯靠人工手动完成根本不现实。
其实,这些隐形的 Unicode 字符早在几十年前就被设计出来,之后便基本被人遗忘,直至 2024 年,黑客开始用它们向 AI 引擎输入隐藏的恶意提示词。这些文本对人类和文本扫描工具完全不可见,大语言模型却能毫不费力地读取并执行其中的恶意指令。AI 引擎此后虽已设置了相应的防护机制,但这类防御仍在不断被突破。
冰山一角
在 GitHub 上发现这批软件包后,研究人员又在 npm 和 VS Code 应用市场发现了类似的恶意包。
Aikido指出,目前检测到的 151 个软件包很可能只是本次攻击活动的冰山一角,许多恶意包在上传后已遭删除,实际规模或远不止于此。
防范供应链攻击,目前最有效的方式仍是在引入任何软件包及其依赖项之前认真审查,包括仔细核对包名、排查可能的拼写错误。
如果大语言模型深度介入恶意包生成的猜测属实,恶意软件包将越来越难以被辨认,尤其是在隐形 Unicode 字符被用来隐藏恶意载荷的情况下。
有网友表示,用 LLM 大规模注入隐形 Unicode 载荷,简直是邪恶升级。我们现在基本上已经到了需要将自动化 Unicode 规范化和同形字检测集成到每个 CI 流水线中的依赖审查阶段,否则当一半的「代码」都不可见时,想人工审查 1 万行代码简直难如登天。
GitHub 等平台也应该对字符串之外的所有非 ASCII 字符进行正则表达式处理,并在这些文件和仓库中添加警告。
开源供应链的安全问题一直是个老大难,没人能把所有代码都看完,代码量一旦达到数十万行,根本就没人会去通读。而现在,攻击手法还能借助 AI 持续变异,提交量更可能直接将人工审查能力淹没。所以,是不是得让安全 AI 来接管commit审查了?
相关攻略
Learn2 STRunner ActiveX 控件安全风险深度解析 对于资深计算机用户而言,Learn2系列培训软件并不陌生。该系列曾是众多用户学习Microsoft Office办公套件与Windows操作系统基础操作的经典辅助工具。然而,其在线培训模块所捆绑安装的STRunner Active
卡巴斯基激活机制深度解析:授权原理与安全风险探讨 在全球网络安全解决方案提供商中,俄罗斯卡巴斯基实验室(Kaspersky Lab)以其强大的威胁检测能力著称。其商业模式采用典型的订阅授权制,用户付费获得的并非软件永久所有权,而是特定时间段内的合法使用权。授权到期后,若不续费,相关防护功能将随之停止
大多数人拿到 Mac,就老老实实用苹果送的那套默认软件 看起来什么都有:浏览器有了、笔记有了、截图也能截。可真正可怕的是——你根本不知道,这些“默认选项”每天在悄悄拖慢你。 很多人折腾了很多年,装过上百个 App,自以为在“优化工作流”。直到有一天,下狠心把那一堆花里胡哨的工具全砍掉,只留下真正有用
企业效率的真正突破并非来自功能越来越多的通用平台,而是来自深耕单一行业的纵向SaaS 在强监管、重流程的行业里摸爬滚打过的人,大多会有这样的体会:效率的提升,往往不是靠功能堆砌出来的。相比那些需要大量定制、适配的通用型CRM或ERP系统,真正能解决问题的,是那些从一开始就为特定行业量身打造的纵向产品
OpenAI COO 莱特卡普:如果你看好 AI,就可以同样看好传统软件 4月2日,关于AI是否会碘伏传统软件行业的讨论再度成为焦点。OpenAI首席运营官布拉德·莱特卡普的最新观点,或许能给市场带来一些不一样的思考:悲观情绪,是不是被过度放大了? 根据《商业内幕》同日下午的报道,莱特卡普明确表示,
热门专题
热门推荐
在《燕云十六声》的天工地窟中,“身如飞燕”宝箱的获取是一场对玩家综合探索能力的深度考验。想要成功开启它,不仅需要耐心与观察力,更需掌握系统性的探索策略。 掌握地窟地形与核心布局 进入天工地窟后,首要任务是进行全方位的地形勘察。建议玩家先熟悉主要通道、分支岔路以及所有可能被忽略的角落,建立完整的地图认
装修这件事,说多了都是泪。找施工队像开盲盒,预算表永远在“动态调整”,设计图看得眼花缭乱……投入大量时间和精力,最后的效果可能还是差强人意。说到底,信息不对称和过程不透明,是大多数装修烦恼的根源。 好在,如今有不少专业的数字化工具,能帮我们把控关键环节。今天就来聊聊五款定位清晰、实用性强的装修类应用
在《燕云十六声》的宏大江湖中,“不见山洞”无疑是一处引人入胜的秘境。这里不仅栖息着珍奇异兽、埋藏着稀世珍宝,更交织着无数待玩家发掘的隐秘故事与特殊事件。若想彻底揭开此地的所有秘密,掌握以下探索技巧至关重要。 进入不见山洞后,首要任务是保持专注,对环境进行细致勘察。洞内的景象暗藏玄机,绝非一目了然。一
在《骷髅传奇》中,神盾系统是决定角色战力的核心模块,远非一件普通装备可比。它更像是一位能够深度定制、伴随你征战四方的忠实伙伴。本文将为你全面解析神盾系统的获取、培养与实战运用,助你将其从基础配置打造为真正的战力引擎,在游戏中脱颖而出。 获取你的第一面神盾是旅程的起点。游戏内提供了多样化的获取途径:完
天成孙悟空这款限定皮肤,以其独特的视觉设计在战场上脱颖而出。它将中国古典神话中齐天大圣的经典形象,与游戏内的现代美学风格进行了深度结合。标志性的金色毛发、可化为武器的金箍棒特效,以及服饰上精致的云纹与神话元素,共同塑造了一个极具战场辨识度的英雄形象。这种高辨识度本身,在战术层面就具有独特价值——它能