ИИ теперь внедряет вредоносы через Unicode-символы 😈 На GitHub нашли 151 репозиторий, где вредоносный код спрятан в невидимых Unicode-символах. В редакторе это выглядит как обычный пробел или пустая строка, при код-ревью вы его буквально не видите, а он ворует данные. Аналогичные вставки обнаружены в npm, Open VSX и на маркетплейсе VS Code. Исследователи считают, что за массовостью стоит ИИ: вручную нашпиговать сотни кодовых баз невидимой малварью, оформив всё как безобидные правки, за пару дней нереально. По сути, это supply chain атака нового уровня. Раньше хакеры маскировали вредонос хотя бы под что-то видимое — обфусцированные строки, подозрительные зависимости, странные скрипты в postinstall. Теперь код буквально невидим для человеческого глаза. Открываешь файл, читаешь, и всё чисто. А между символами спрятана полезная нагрузка, которую видит только интерпретатор. Классическое ревью глазами больше не работает, нужны линтеры и сканеры, специально заточенные под детекцию невидимых символов.