Araştırmacılar, GitHub, NPM ve Open VSX gibi depolara yüklenen kötü amaçlı paketlerde görünmez kod kullanan yeni bir tedarik zinciri saldırısı keşfetti. Bu teknik, geleneksel savunmaları atlatarak tehditleri tespit etmeyi zorlaştırıyor. Aikido Security firması, sadece 3-9 Mart tarihleri arasında GitHub'a yüklenen 151 kötü amaçlı paket buldu. On yıldır yaygın olan bu tür saldırılar, genellikle geliştiricileri yanıltmak için popüler kütüphanelere benzeyen kötü amaçlı paketler yükleyerek çalışır.
Bu ay tespit edilen paketler, yeni bir teknik benimsiyor: Çoğu editör, terminal ve kod inceleme arayüzünde görünmeyen kodun seçici kullanımı. Kodun büyük bir kısmı normal ve okunabilir formda görünse de, kötü amaçlı fonksiyonlar ve yükler – yani kötü niyetin tipik işaretleri – insan gözüyle görünmez olan Unicode karakterler olarak işleniyor. Aikido'nun geçen yıl ilk kez fark ettiğini belirttiği bu taktik, manuel kod incelemelerini ve diğer geleneksel savunmaları neredeyse işe yaramaz hale getiriyor.
Kötü amaçlı paketler, görünür kısımlarının yüksek kalitesi nedeniyle tespit edilmesi daha da zor. Araştırmacılar, kötü amaçlı enjeksiyonların açıkça şüpheli commit'ler şeklinde gelmediğini, aksine belge düzeltmeleri, sürüm güncellemeleri, küçük refactor'lar ve hata düzeltmeleri gibi hedef projenin stilistik olarak tutarlı gerçekçi değişiklikler içerdiğini belirtiyor. Araştırmacılar, saldırı grubuna 'Glassworm' adını verdi ve bu ikna edici derecede yasal görünen paketleri oluşturmak için büyük dil modelleri (LLM) kullandığından şüpheleniyorlar. Bu ölçekte (151+ özel kod değişikliği) manuel üretim mümkün değil.
Bu saldırı, geleneksel güvenlik önlemlerini atlatmak için gelişmiş teknikler kullanması ve potansiyel olarak yapay zeka tarafından desteklenmesi nedeniyle yazılım tedarik zinciri güvenliğine yönelik ciddi bir tehdit oluşturuyor.