2026-03-16 の一覧へ戻るホーム
**グラスワーム再登場:無視できないUnicode攻撃がリポジトリへ新たな波をもたらす**

2026/03/15 22:08

**グラスワーム再登場:無視できないUnicode攻撃がリポジトリへ新たな波をもたらす**

RSS: https://news.ycombinator.com/rss

元のHacker News記事へ ↗
要約

Japanese Translation:

Glasswormは2026年3月にGitHub、npm、およびVS Code全体で新たな見えないUnicode注入攻撃を開始しました。
2026年3月3日から9日までの調査で、少なくとも151件のGitHubリポジトリに、表示時に悪意ある

eval()
ペイロードを生成する見えないUnicodeデコーダパターンが含まれていることが判明しました。同じ手法は3月12日にいくつかのnpmパッケージ(特に
@aifabrix/miso-client v4.7.2
@iflow-mcp/watercrawl‑mcp 1.3.0–1.3.4
)およびVS Code拡張機能
quartz.quartz-markdown-editor v0.3.0
にも現れました。
侵害されたプロジェクトには、Wasmer、Reworm、およびanomalyco(OpenCode/SST)のopencode‑benchなどの高い注目度を持つリポジトリが含まれています。多くの場合、悪意あるコミットは実際に見えるように(ドキュメントの微調整、バージョンアップ、リファクタリング)しており、大規模言語モデルによって生成されて混在するように設計されたことが示唆されています。
注入されたコードはSolanaブロックチェーンアドレスへ呼び出しを行い、更なるマルウェアをダウンロードするペイロードにデコードされ、Glasswormの以前の「Invisible Code」シリーズ(2025年3月のnpmインシデントおよび2025年10月17日–31日のOpen VSX拡張機能)と同様です。
Aikidoのマルウェアスキャンパイプラインは現在、これらの見えないUnicode注入を検出します。既存ユーザーには影響を受けるパッケージに対して100/100のクリティカルファインディングが通知されます。同社の無料でオープンソースの「Aikido Safe Chain」ツールは、npm、npx、yarn、pnpm、およびpnpxをラップし、AIと人間のアナリストを活用したリアルタイムサプライチェーン保護を提供します。
侵害されたリポジトリやパッケージを使用する開発者は、Solanaベースのスクリプトによる認証情報窃盗のリスクがあります。業界全体では、Aikido Safe ChainのようなAI駆動型スキャンソリューションが採用され、同様のサプライチェーン攻撃を緩和することが期待されています。

本文

私たちがほぼ一年間追跡してきた「見えない脅威」が再び現れました

PolinRider キャンペーンは数百の GitHub リポジトリを乗っ取ったことで話題になりましたが、同時に新たな波として Glassworm の活動が GitHub、npm、VS Code へも広がっています。

昨年10月、私たちは隠れた Unicode 文字が GitHub リポジトリを乗っ取る手法であることを書き、テクニックの起源を Glassworm と名付けた脅威アクターに追跡しました。今月も同じアクターが再登場し、被害にあったリポジトリには Wasmer、Reworm、anomalyco(OpenCode および SST の背後にある組織)が含まれています。

「インビジブルコード」キャンペーンの一年

日付事象
2025年3月Aikido が PUA Unicode 文字を使って負荷を隠す悪意ある npm パッケージを初めて発見
2025年5月隠れた Unicode のリスクとサプライチェーン攻撃での乱用方法を詳細に説明したブログを公開
2025年10月17日同じ手法で Open VSX 上の拡張機能が乗っ取られることを発見
2025年10月31日攻撃者が GitHub リポジトリへ焦点を移したと判明
2026年3月新たな大規模波が出現:数百の GitHub リポジトリが乗っ取られ、npm と VS Code も影響

攻撃手法の簡単復習

新しい波の規模に入る前に、この攻撃がどのように機能するかを振り返ります。数ヶ月にわたる報道にも関わらず、依然として開発者やツールが未熟に直面しています。

手法は「見えない Unicode 文字」に依存します:ほぼすべてのエディタ、端末、およびコードレビューインターフェースで何も表示されないコードスニペットです。攻撃者はこれらの隠れた文字を使い、空っぽに見える文字列内に実際のペイロードをエンコードします。JavaScript ランタイムがそれを検出すると、小さなデコーダーが真のバイト列を抽出し 

eval()
に渡します。

const s = v => [...v].map(w => (
  w = w.codePointAt(0),
  w >= 0xFE00 && w <= 0xFE0F ? w - 0xFE00 :
  w >= 0xE0100 && w <= 0xE01EF ? w - 0xE0100 + 16 : null
)).filter(n => n !== null);

eval(Buffer.from(s(``)).toString('utf-8'));


s()
に渡されるバッククオート文字列は、すべてのビューアで空っぽに見えますが、実際には見えない文字が詰め込まれており、デコードすると完全な悪意あるペイロードが生成されます。過去の事件では、そのデコードされたペイロードが Solana を配信チャネルとして第二段階スクリプトを取得・実行し、トークン、認証情報、秘密情報を盗むことができました。

2026年3月の波の規模

Glassworm ティアクターによる大規模キャンペーンがオープンソースリポジトリ全体に拡散しています。GitHub のコード検索でデコーダーパターンを含むリポジトリは現在 151 件以上がヒットし、実際の被害規模はさらに大きいと考えられます(多くの対象リポジトリは執筆時点で削除済みです)。GitHub の乗っ取りは 3月3日から3月9日の間に行われたようです。

キャンペーンは GitHub を超えて拡大しています。npm と VS Code マーケットプレイスでも同じ手法が採用されており、Glassworm が複数エコシステムで統一的なプッシュを実施していることが示唆されています。これは同組織の過去に見られたレジストリ間のピボットパターンと一致します。

パッケージエコシステムバージョン日付
@aifabrix/miso-clientnpm4.7.22026年3月12日
@iflow-mcp/watercrawl-watercrawl‑mcpnpm1.3.0, 1.3.1, 1.3.2, 1.3.3, 1.3.42026年3月12日
quartz.quartz-markdown-editorVS Code0.3.02026年3月12日

GitHub 上の注目すべき被害リポジトリ

特定したリポジトリの中には、星数が多い有名プロジェクトも含まれており、サプライチェーンへの影響を受ける価値の高いターゲットです。

AI 補助カモフラージュ

10月の記事で指摘したように、悪意ある注入は明らかに怪しいコミットとして現れません。周囲の変更は文書調整、バージョンアップ、小規模リファクタリング、バグ修正といった実際的なものであり、対象プロジェクトのスタイルに合致しています。このレベルのプロジェクト固有のカスタマイズは、攻撃者が大規模言語モデルを使って説得力ある「偽装コミット」を生成していることを示唆します。現在見られる 151 件以上の個別コード変更を手作業で作成することは実際的に不可能です。

検出と対策

見えない脅威にはアクティブな防御が必要です。視覚的なコードレビューや標準のリンターだけでは「見えない」ものを検知できません。Aikido では、インビジブル Unicode 注入を直接マルウェアスキャンパイプラインに組み込んだ検出機能を構築しています。

  • すでに Aikido を利用している場合:これらのパッケージは「100/100」のクリティカルフィンディングとしてフィードに表示されます。
  • まだ Aikido 未導入の場合:無料アカウントを作成し、リポジトリをリンクしてください。無料プランにはマルウェア検出が含まれており(クレジットカード不要)います。

さらに、サプライチェーンマルウェアをリアルタイムで停止できるツールは深刻な感染を防げます。それが Aikido Safe Chain のコンセプトです。npm、npx、yarn、pnpm、pnpx をラップし、AI と人間のマルウェアリサーチャーを組み合わせて最新のサプライチェーンリスクを検知・ブロックします。このツールは無料でオープンソースです。

脅威情報を購読する

同じ日のほかのニュース

一覧に戻る →

2026/03/16 4:12

「Chrome DevTools MCP」 (原文と同じく略語をそのまま使用します)

## Japanese Translation: **改訂要約** Chrome の MCP(Machine‑Code Processor)サーバーは、現在実行中の Chrome セッションに直接コーディングエージェントを接続できるようになり、新しいインスタンスを毎回起動する必要がなくなりました。 この機能を利用するには、`chrome://inspect#remote-debugging` でリモートデバッグを有効化し、MCP サーバーを `--autoConnect` フラグ付きで起動します(例:`gemini-cli --autoConnect --channel=beta`)。 エージェントがセッションを要求すると、Chrome は許可ダイアログを表示し、「Chrome is being controlled by automated test software」というバナーを表示します。エージェントはそのアクティブなセッションに対して Network や Elements などの DevTools パネルへアクセスできます。 MCP サーバーは依然として元々の起動方法をサポートしています:ユーザープロファイルの指定、リモートデバッグポート経由での接続、または隔離された一時プロファイルの実行。 サンプルワークフローは次のとおりです。リモートデバッグを有効化した後、エージェントプロンプトに「Check the performance of https://developers.chrome.com」と入力すると、MCP サーバーが接続し、ページを開き、パフォーマンストレースを取得します。 Chrome M144(Beta)で利用可能なこの機能は、デベロッパーが新しいセッションを開くことなく手動の DevTools 使用と AI 支援デバッグをシームレスに切り替えられるようにし、将来的に MCP を通じてコーディングエージェントへより多くの DevTools パネルデータを段階的に公開する基盤を整備します。

2026/03/16 6:22

カナダの法案 C‑22 は、カナダ国民への大量メタデータ監視を義務付けています。

## Japanese Translation: > Bill C‑22(Lawful Access Act)は、通信事業者および電子サービスプロバイダー(ESP)への法執行アクセスを拡大すると同時に、一部のプライバシー制限を強化します。従来のBill C‑2で広範な無証拠要求が認められていた点を置き換え、通信事業者に対しては「サービス確認」権限のみを限定的に付与します。他の加入者情報については、合理的根拠基準に基づく裁判所承認命令が必要となります。 > > 本法ではまた、Supporting Authorized Access to Information Act(SAAIA)も導入されます。この条項はBill C‑2の多くの要件を反映しつつ、GoogleやMetaなどのESPにも適用します。ESPはデバイス・機能テストへの協力、要求の秘密保持、および「コアプロバイダー」として指定される可能性があります。コアプロバイダーは、データ抽出ツールの開発・テスト・維持管理、監視装置の設置、当局への機能通知、そして特定メタデータ(例:送信ログ)を最大1年間保持する義務があります。ただし、**送信内容、ウェブ閲覧履歴、またはソーシャルメディア活動の保持を強制されることはありません**—この例外はシステム的脆弱性への対処に限定されています。 > > 監督はインテリジェンス・コミッショナーが承認した省令によって行われますが、多くの詳細は機密扱いとなっています。本法は、ブダペスト条約第二追加議定書や米国のCLOUD Actなどとの国際情報共有協力を改善することを目的としていますが、重大な市民権利懸念を提起し、通信事業者およびESPに大きなコンプライアンス負担を課す可能性があります。結果として、ユーザーの監視リスクが高まる恐れがあります。

2026/03/16 4:25

49 MB のウェブページ

## Japanese Translation: 記事は、現代のニュースサイトがデータ量の多いリクエストや侵入的な広告、トラッキングスクリプトで読者を過剰に負荷させていると主張し、滑らかな閲覧体験よりも収益を優先していることを指摘しています。 - **具体的証拠:** ニューヨーク・タイムズの記事1件が422のネットワークリクエスト、49 MBのデータを生成し、安定するまでに2分かかったと報告されています。2006年には同じページは1.5 Mbpsの接続で数分間停止していた(10曲分のMP3音源に相当)。 - **広告インフラ:** クライアント側のプログレマティックオークションがRubicon ProjectやAmazon Ad Systemsなどのエクスチェンジへ何十もの同時入札リクエストを送信し、膨大なJavaScript解析を要求します。 - **トラッキングペイロード:** 約5 MBのトラッキングスクリプトがPOSTビーコンをファーストパーティー端点(例: a.et.nytimes.com/track)やクロスサイトトラッカー(doubleclick.net、casalemedia)へ送信し、バックグラウンドでユーザー識別情報を構築します。IABの「purr」同意エンドポイントはページロード直後にこれらのスクリプトを即座に起動させるため、クッキーバナーはプライバシー保護ではなく法的シールドであることが示されています。 - **UX戦術:** パブリッシャーはCPMやビューアビリティ指標を読者体験よりも重視し、モーダルポップアップ、低コントラストの閉じアイコン、強制スクロール、自動再生のスティッキービデオ(CPU熱、バッテリー消費、Fitts法違反)や「Read More」ボタンで記事を切り捨て、追加広告をロードします。これらは広告iframeが遷移後に読み込まれる際にレイアウトシフト(CLS)を引き起こし、Google Core Web Vitalsの指標による離脱率を高めます。 - **モバイル問題:** モバイルニュースサイトはコンテンツに約11 %しかビューポートを割り当てず、狭いスリット状の表示領域がインタラクションコストを増大させます。 - **緩和策:** 非必須オーバーレイはスクロール深度≥50 %または60 秒滞在後に遅延し、モーダルキューを順序付け、アクセシブルで低侵襲のモーダルを使用し、非同期コンテンツ用スペースを確保してCLSを回避します。 - **代替案:** text.npr.org、lite.cnn.com、およびRSSフィードといった軽量フォーマットは、読者が余計な要素のないプライバシーフレンドリーなニュース消費を好むことを示し、広告中心のUIパラダイムに挑戦します。 **結果:** このまとめはすべての主要ポイントを完全に反映し、説明のない推測を避け、記事の主張を明確で読者フレンドリーな概要として提示しています。

**グラスワーム再登場:無視できないUnicode攻撃がリポジトリへ新たな波をもたらす** | そっか~ニュース