الهاكرز يملؤون مشاريع على GitHub مخفية فيها كود خبيث.

القرصنة الإلكترونية تُخفي الشيفرة الضارة باستخدام رموز Unicode “غير مرئية”

أظهرت أبحاث جديدة من شركة Aikido Security أنه في بداية مارس ظهر 151 مشروعًا على GitHub يحتويون على شيفرة تجسس مخفية. تستخدم الحزم الخبيثة رموز Unicode التي تبدو للإنسان كمسافات أو سلاسل فارغة، لكن عند تشغيل JavaScript العادي تتحول إلى بايت كود قابل للتنفيذ وتدخل في دالة `eval()`.

كيف يبدو الهجوم
1. أسماء المكتبات

تسمي الحزم بنفس أسماء الحلول التجارية المعروفة (مثل «React» أو «Node.js»). هذا يجعل المطورين يظنون خطأً أنها آمنة ويضيفونها إلى مشاريعهم.

2. الشيفرة “قابلة للقراءة” + أجزاء مخفية

الجزء الأكبر من الشيفرة يبدو برنامجًا عاديًا وسهل القراءة. داخلها توجد كتل مملوءة برموز غير مرئية. عند المراجعة اليدوية تختفي، وعند التنفيذ تُفعَّل.

3. مستودعات الاختبار

تم اكتشاف مثل هذه الحزم الخبيثة ليس فقط على GitHub بل أيضًا في NPM وOpen VSX وسوق Visual Studio Code.

لماذا يصعب ملاحظتها
- تبدو التغييرات في المشاريع عادية: تحديث الإصدار، إصلاح الأخطاء، إعادة الهيكلة.
- يعتقد الخبراء أن المهاجمين يستخدمون نماذج لغوية كبيرة للذكاء الاصطناعي لأتمتة تزوير الشيفرة. هذا يسمح بإعداد أكثر من 150 مشروعًا بسرعة دون عمل يدوي.

تاريخ الرموز
تم إضافة رموز Unicode التي تمثل الحروف اللاتينية إلى النظام قبل عقد من الزمان. منذ عام 2024 بدأ القراصنة باستخدامها لتخفي الطلبات الضارة للروبوتات الحوارية والشيفرة في المستودعات. لا تكشف أدوات التحليل الثابتة عنها؛ فقط عند تشغيل JavaScript تكشف المفسرات الصغيرة البايت كود الحقيقي.

ما الذي يجب على المطورين فعله
1. تحقق من التبعيات – قبل ربط المكتبات الخارجية، ادرس شيفرتها المصدرية وتاريخ التغييرات بعناية.
2. الفحوصات الآلية – استخدم أدوات التدقيق (linters) والماسحات للبحث عن رموز غير مرئية وأدوات تحليل السلوك الديناميكي.
3. تحديث – راقب ما إذا كانت الحزم تُزال بعد التحميل؛ قد يشير ذلك إلى تهديد مخفي.

آفاق المستقبل
إذا ثبتت افتراضات استخدام الذكاء الاصطناعي في هذه الخطة، سيصبح اكتشاف وإزالة مثل هذه الهجمات أكثر تعقيدًا. ومع ذلك يظل النهج الواعي لفحص الشيفرة المصدرية والتبعيات هو أفضل حماية ضد هذه التهديدات.