Yaklaşık bir yıldır takip edilen görünmez bir tehdit olan Glassworm, GitHub, npm ve VS Code depolarını hedef alan yeni bir saldırı dalgasıyla geri döndü. Geçtiğimiz yıl Ekim ayında, gizli Unicode karakterlerinin GitHub depolarını ele geçirmek için nasıl kullanıldığını ve bu tekniğin Glassworm adlı tehdit aktörüne dayandığını ortaya koymuştuk. Şimdi, aynı aktör yeniden sahneye çıktı ve etkilenen depolar arasında Wasmer, Reworm ve opencode-bench gibi önemli projeler bulunuyor. Bu saldırılar, geliştiriciler ve araçlar tarafından fark edilmeden kod tabanlarına sızma potansiyeli taşıyor.
Bu saldırı tekniği, neredeyse tüm kod düzenleyicilerinde, terminallerde ve kod inceleme arayüzlerinde görünmez olan Unicode karakterlerine dayanıyor. Saldırganlar, bu görünmez karakterleri kullanarak boş gibi görünen bir dizenin içine doğrudan kötü amaçlı bir yük (payload) yerleştiriyorlar. JavaScript runtime bu dizeyi işlediğinde, küçük bir çözümleyici (decoder) gerçek baytları çıkarıyor ve bunları eval() fonksiyonuna iletiyor. Bu sayede, boş gibi görünen bir kod parçası aslında token, kimlik bilgileri ve sırları çalabilen tam teşekküllü kötü amaçlı bir yazılımı çalıştırabiliyor.
Mart 2026'da ortaya çıkan bu yeni dalga, açık kaynak depolarında geniş çaplı bir kampanya şeklinde yayılıyor. GitHub'da yapılan bir kod araması, çözümleyici desenine uyan en az 151 depoyu gösteriyor ve bu sayı, yazının yazıldığı sırada silinmiş olan birçok depoyu içermediği için gerçek kapsamı tam olarak yansıtmıyor. GitHub saldırıları 3-9 Mart tarihleri arasında gerçekleşmiş gibi görünüyor. Kampanya sadece GitHub ile sınırlı kalmayıp, npm ve VS Code platformlarına da yayılmış durumda, bu da tedarik zinciri güvenliği için ciddi bir tehdit oluşturuyor.
Görünmez Unicode karakterlerini kullanan bu saldırılar, yazılım tedarik zincirinin temel bileşenlerini hedef alarak tespit edilmelerini son derece zorlaştırıyor ve geniş çaplı güvenlik ihlallerine yol açma potansiyeli taşıyor.