不可視コードを使用したサプライチェーン攻撃がGitHubを含む複数のリポジトリに影響

不可視コードを使用したサプライチェーン攻撃が発見

セキュリティ企業Aikido Securityは、悪意のあるパッケージが不可視コードを含むサプライチェーン攻撃を発見しました。この攻撃は、GitHubを含む複数のリポジトリに影響を与えています。

Aikido Securityは、3月3日から9日にかけてGitHubに151の悪意のあるパッケージがアップロードされたことを報告しました。これらのパッケージは、通常のコードレビューと静的解析ツールでは検出が困難な不可視Unicode文字を使用しています。

攻撃者は、Unicodeの公開使用領域を使用して不可視コードを生成しています。これらの文字は、人間には見えませんが、コンピュータには可視であり、JavaScriptインタプリタによって実行可能コードとして解釈されます。

これらのリポジトリは、攻撃の対象となっています。

攻撃から身を守るためには、パッケージとその依存関係を慎重に検査することが重要です。特に、パッケージ名にタイポがあるかどうかを確認することも有効です。

この攻撃は、サプライチェーン攻撃の新たな手法を示しています。開発者は、パッケージのインストール前に十分な検査を行うことが求められます。

元記事: https://arstechnica.com/security/2026/03/supply-chain-attack-using-invisible-code-hits-github-and-other-repositories/