奇客 看不見(jiàn)的 JavaScript 后門

本月初，劍橋大學(xué)的研究人員披露了在源代碼中隱藏人眼看不見(jiàn)的漏洞的攻擊方法 Trojan-Source，攻擊利用的是 Unicode 中的雙向機(jī)制。現(xiàn)在，安全研究人員披露了在 JavaScript 中發(fā)動(dòng)類似攻擊的方法。在 JavaScript 中創(chuàng)造看不見(jiàn)的后門首先需要尋找能被 JS 解釋為標(biāo)識(shí)符/變量的不可見(jiàn)的 Unicode 字符，然后尋找使用不可見(jiàn)字符不被注意到的方法。這種方法無(wú)法通過(guò)語(yǔ)法高亮檢測(cè)出來(lái)。攻擊需要 IDE/文本編輯器能正確渲染不可見(jiàn)的字符。Notepad++ 和 VS Code 都能正確渲染。