Glassworm 攻击利用不可见 Unicode 字符入侵逾 151 个 GitHub 仓库

Aikido Security 研究人员近日发现，黑客组织 Glassworm 利用不可见 Unicode 字符在 GitHub、npm 及 VS Code 市场发起大规模攻击，目前已确认至少 151 个仓库受损。该技术通过在代码中嵌入渲染为零宽空格的特定字符来隐藏恶意负载，开发者在审查代码请求时难以通过肉眼识别。受影响的目标包括 Wasmer、Reworm 等知名项目。

此次攻击的恶意负载可窃取用户凭据和加密令牌，并利用 Solana 区块链作为指令控制通道，增加了关停难度。研究人员指出，攻击者疑似利用大语言模型生成了与各项目风格一致的代码重构和版本更新，使恶意注入更具欺骗性。建议开发者使用专门扫描不可见字符的自动化工具进行安全检查。