标签: Unicode 清除筛选
Glassworm 把恶意代码藏进不可见 Unicode 字符,至少 151 个 GitHub 仓库受影响
这类供应链攻击最麻烦的地方,不是恶意代码写得有多复杂,而是它开始利用人眼和代码审查流程天然看不见的部分。
Aikido Security 近日披露,黑客组织 Glassworm 发起的新一轮攻击,已经影响至少 151 个 GitHub 仓库,并进一步扩展到 npm 和 VS Code 市场。研究人员表示,攻击者把恶意负载编码进不可见的 Unicode 字符中,让代码在审查界面里看上去像是空白,真正的 payload 则在运行时被解码并执行。
![Glassworm 利用不可见 Unicode 字符发起供应链攻击](https://linlog.top/api/uploads/2026/03