本质新闻

研究人员发现，黑客利用Unicode规范中的隐形字符（Public Use Areas）在GitHub、npm及VS Code市场等代码库中植入恶意代码。这些字符在人类和静态分析工具中呈现为空白，但在JavaScript解释器中可被解码为可执行恶意载荷。攻击者通过编码方式隐藏恶意指令，部分载荷曾利用Solana网络窃取密钥与代币。目前检测到151个相关恶意包，但实际数量可能更高，因许多已删除。专家建议严格审查代码包及依赖项，警惕潜在AI生成的伪装包。