2026-03-31

Wenn man glaubt, schon alles gesehen zu haben: Neuer Supply Chain Angriff mit unsichtbarem Code.

Offenbar gibt es Unicode-Elemente, welche von den meisten Editoren und Codeanalyse-Werkzeugen nicht angezeigt werden, und wahrscheinlich ist das nicht einmal ein Fehler, sondern muss gemäss Unicode-Spezifikation so sein. In einem Editor wird dann z.B. ein leerer String angezeigt. Wenn dann etwa eine Javascript-Engine das sieht, werden diese Zeichen jedoch verarbeitet, und lassen sich so nutzen, um Schadcode zu verstecken. Dieser lässt sich dann mit einem einfachen Decoder extrahieren und ausführen.

Entdeckt wurde dies im JavaScript-Umfeld, und auch andere Interpreter wie PHP sind grundsätzlich von dieser Situation betroffen. Schwieriger auszunützen wäre dies wohl bei kompilierten Sprachen mit strikteren Regeln und robusterem Tooling.