Исследование показало, что только за одну неделю в начале марта было обнаружено более сотни вредоносных пакетов, замаскированных под легитимные программные библиотеки. Их названия нередко напоминают известные продукты, из-за чего разработчики могут по ошибке добавить такие зависимости в свои проекты. Новая тактика отличается повышенной сложностью: основная часть кода выглядит безопасной и читаемой, тогда как вредоносные функции внедряются с использованием символов, которые визуально воспринимаются как пустые строки или пробелы.Подобный подход делает традиционные методы проверки менее эффективными. Во время выполнения программ небольшие декодирующие модули преобразуют скрытые символы в реальные команды, которые затем запускаются через функцию выполнения кода. Аналогичные угрозы специалисты обнаружили и на других площадках для распространения программных компонентов, включая экосистему пакетов NPM и маркетплейсы расширений для редакторов кода.
Эксперты также отмечают, что злоумышленники действуют крайне осторожно, поддерживая видимость нормальной работы над проектами. Они вносят изменения в документацию, обновляют версии и исправляют ошибки — всё это создаёт впечатление добросовестной разработки. По мнению аналитиков, для масштабирования подобных операций могут использоваться современные модели искусственного интеллекта, поскольку вручную поддерживать десятки или сотни проектов было бы слишком трудозатратно.
Несмотря на выявленные случаи, специалисты предполагают, что обнаруженные пакеты — лишь часть более широкой кампании. Вредоносные проекты нередко удаляются вскоре после публикации, когда успевают набрать достаточное количество загрузок. В качестве основной меры защиты эксперты рекомендуют разработчикам тщательно проверять сторонние библиотеки и их зависимости перед использованием. При этом они предупреждают, что по мере совершенствования технологий маскировки угрозы подобного рода могут становиться всё более сложными для выявления.
