Nov način skrivanja zlonamerne kode v neuporabljenem delu Unicoda

Raziskovalci iz podjetja Aikido so odkrili, da napadalci uporabljajo nov način za skrivanje zlonamerne kode v prispevke, ki jih pošljejo v repozitorije na Githubu. Napadi na izvorno kodo knjižnic, ki se potem propagirajo navzdol po verigi (supply-chain attack) niso nič novega, je pa nov način skrivanja. Uporabili so nedefinirani del Unicoda, ki se imenuje PUA (Private Use Area). To so rezervirani bloki, ki so namenoma prazni, da si lahko posamezne organizacije interno definirajo svoje znake, če jih potrebujejo.

Ker te kode niso definirane, jih običajna orodja ne prikazujejo. Odvisno od izvedbe ne prikažejo ničesar ali pa nadomestne znake (placeholder), ki so videti povsem neškodljivi. Sami po sebi tudi so, a za njihovo uporabo v izvorni kodi ni prav nobenega razloga. Napadalci so na tak način skrili zlonamerni del kode, saj ga urejevalniki kode ne prikažejo. V resnici pa je v kodi ukaz, ki te znake pretvori v običajni tekst ASCII in ga upošteva. Izkaže se, da vodi do Googlovega koledarja z nenavadnim dogodkom v letu 2027.

V resnici pa tam, torej iz naslova tega dogodka, koda dobi prava navodila, kje naj poišči zlonamerni paketek (payload). Na ta način se izognejo dodatnemu nivoju zaščite, saj so Googlovi strežniki običajno označeni kot zaupanja vredni in dostop do njih požarni zidovi dovoljujejo.