Кампания по борьбе с киберпреступностью под названием GlassWorm скрывает вредоносное ПО в невидимых символах и распространяет его с помощью программного обеспечения, на которое полагаются миллионы разработчиков
Присоединиться Наше сообщество любителей науки!
Подпишитесь на нашу бесплатную ежедневную рассылку новостейВведите свой адрес электронной почтыЯ соглашаюсь с тем, что моя информация будет обрабатываться в соответствии с Политикой конфиденциальности Scientific American и Springer Nature Limited. Мы используем сторонние сервисы как для проверки, так и для доставки электронной почты. Предоставляя свой адрес электронной почты, вы также даете согласие на передачу этого адреса третьим лицам для этих целей.Зарегистрируйтесь
Опасность в коде заключалась в символах, которые невидимы человеческому глазу. В начале марта исследователи из нескольких охранных фирм изучили то, что выглядело как пустое пространство, и обнаружили скрытые символы Unicode, которые были расшифрованы вредоносной программой. Вскоре следователи отследили сотни скомпрометированных компонентов с открытым исходным кодом, разбросанных по GitHub, npm и другим крупным платформам для разработчиков, в рамках кампании по борьбе с киберпреступностью, известной как GlassWorm, которая продолжается уже несколько месяцев.
GlassWorm опровергает некоторые основополагающие предположения современной разработки программного обеспечения: что код, который вы можете прочитать, — это код, которому вы можете доверять, что общая инфраструктура по умолчанию безопасна и что люди, которые поддерживают проекты с открытым исходным кодом, могут надежно поймайте, что не так, до того, как оно отправится. Поскольку современные приложения собираются из заимствованного кода, один зараженный пакет может распространиться далеко за пределы проекта, где он впервые появился.Джастин Каппос, профессор компьютерных наук в Нью-Йоркском университете, изучающий безопасность цепочки поставок программного обеспечения, сравнивает атаку с печатной машинкой, которая прячет второе сообщение на самом видном месте. «Представьте, что вместо того, чтобы просто печатать иероглиф черными чернилами, возможно, было бы использовано разное количество синих, красных и зеленых чернил очень тонким способом», — говорит он. «Так что она выглядела вроде как черной, но не совсем черной. Человек, просматривающий что-то подобное, ничего не заметит, потому что дополнительная информация скрыта.»
О поддержке научной журналистики
Если вам понравилась эта статья, подумайте о том, чтобы поддержать нашу премию-выигрывайте в журналистике, подписываясь на рассылку. Приобретая подписку, вы помогаете обеспечить будущее впечатляющих историй об открытиях и идеях, формирующих наш современный мир.
Идея использования невидимых персонажей в качестве оружия не нова. В 2021 году исследователи из Кембриджского университета выявили класс атак, которые они назвали «Троянским источником», который использовал Unicode, стандарт, используемый компьютерами для представления текста и символов. Они предупредили, что «последующее программное обеспечение, скорее всего, унаследует уязвимость».
GlassWorm работает аналогичным образом. Злоумышленники вносят небольшие исправления в программное обеспечение с открытым исходным кодом. Изменения выглядят совместимыми с исходным кодом, но содержат невидимые символы. «Как правило, в одной строке внизу написано: «Эй, просмотрите сам файл, извлеките всю скрытую информацию и сделайте с ней что-нибудь хитрое», — говорит Каппос.
Что делает кампанию GlassWorm эффективной, так это то, как она использует структуру зависимостей программного обеспечения. «Допустим, вы хотели создать веб-браузер», — говорит Каппос. «Вам не нужно самостоятельно писать код для отображения изображения.» Вместо этого приложения полагаются на библиотеки с предварительно написанным кодом, которые, в свою очередь, автоматически импортируют десятки других. Любой из них может быть поврежден. «Злоумышленник использует вредоносное программное обеспечение не для того, чтобы внедрить вредоносное ПО в программу, которую он взломал, а для того, чтобы сказать: «Эй, для того, чтобы я мог работать, мне нужен какой-то базовый блок», — объясняет Каппос. «И именно на этом строительном блоке находится вредоносное ПО».
Волна атак в марте 2026 года отличалась как масштабом, так и изощренностью. В период с 3 по 9 марта компании по кибербезопасности Aikido, StepSecurity и Socket отследили активность GlassWorm в сотнях репозиториев и расширений. Заражение охватило репозитории JavaScript, TypeScript и Python. А к 16 марта были заражены два ранее чистых пакета, которые ежемесячно загружались примерно 135 000 раз.
Злоумышленники, стоящие за GlassWorm, делают это ради денег. Как только скрытый код запускается, он загружает дополнительные скрипты, предназначенные для кражи токенов криптовалюты, учетных данных разработчика и других секретов. «Часто это профессиональные банды киберпреступников», — говорит Кэппос. «Они зарабатывают кучу денег».
Их успех выявляет более глубокую проблему. Область безопасности цепочки поставок программного обеспечения, по мнению Кэппоса, «долгое время оставалась без внимания». По его словам, государственные структуры использовали ее более десяти лет, и теперь киберпреступники осознали эту возможность. Но настоящая неудача, утверждает он, заключается не в небрежном обращении с открытым исходным кодом, а в неадекватных средствах обеспечения безопасности. «Я думаю, что на самом деле проще всего попытаться обвинить разработчиков, но это немного недальновидно», — говорит он. «Чтобы спасти нас, необходимо усовершенствовать инструменты и средства защиты.»
