Maalmo ka hor Cilmi-baarayaasha Jaamacadda Cambridge ayaa sii daayay daabacaadda of Farsamo si qarsoodi ah loogu beddelo koodka xaasidnimo ku jirta koodhka isha codsiga.
Habka weerarka ayaa diyaariyey Waxay horey ugu taxan tahay CVE-2021-42574 Waxay ku hoos timaadaa magaca Trojan Source waxayna ku salaysan tahay samaynta qoraal u eg mid ka duwan soo-ururiyaha/turjumaanka iyo qofka eegaya koodka.
Ku saabsan Isha Trojan
Qaabka waxay ku tiirsan tahay adeegsiga xarfaha Unicode ee gaarka ah faallooyinka koodka, kaas oo beddela qaabka soo bandhigida qoraalka laba jiho. Iyada oo la kaashanayo jilayaashan xakamaynta, qaybo ka mid ah qoraalka waxaa laga soo bandhigi karaa bidix ilaa midig, halka qaar kalena laga soo bandhigi karaa midig ilaa bidix.
Dhaqan maalmeedka, jilayaashan kantaroolka ah ayaa loo isticmaali karaa, tusaale ahaan, in xargaha Cibraaniga ama Carabiga lagu geliyo faylka koodka. Si kastaba ha ahaatee, haddii aad isticmaasho jilayaashan si aad isugu gayso xariiqyo leh jihooyin qoraal oo kala duwan oo isla xariiq ah, marinnada qoraalka ee ka muuqda midig ilaa bidix ayaa laga yaabaa inay isku dulmaan qoraalka caadiga ah ee jira ee ka muuqda bidix ilaa midig.
Iyada oo habkan, dhisme xaasidnimo ah ayaa lagu dari karaa koodka, laakiin markaa ka dhig qoraalka leh dhismahan mid aan la arki karin markaad fiirinayso koodka, adigoo ku daraya jilayaasha ka muuqda midigta ilaa bidix ee faallooyinka soo socda ama gudaha gudaha, taas oo keeni doonta natiijo gebi ahaanba kala duwan oo lagu dul saaray gelinta xaasidnimada ah. Koodhka noocaan ah wali wuxuu ahaan doonaa mid macne ahaan sax ah, laakiin si ka duwan ayaa loo fasiri doonaa.
Waxaan helnay habab lagu maareeyo codeynta faylalka koodhka isha si ay daawadayaasha bini'aadamka iyo isku-dubaridayaashu u arkaan caqliyo kala duwan. Mid ka mid ah hababka khatarta ah ayaa isticmaala Unicode jihaynta jilayaasha si ay u muujiyaan koodka sida naqshadaynta macquulnimada dhabta ah. Waxaan xaqiijinay in weerarkani uu ka soo horjeedo C, C ++, C #, JavaScript, Java, Rust, Go, iyo Python, waxaanan ka shakisanahay in uu ka soo horjeedo inta badan luqadaha kale ee casriga ah.
Markaad dib u eegayso koodka, horumariyahu waxa uu wajihi doona nidaamka muuqaalka ah ee jilayaasha waxana uu ku arki doonaa faallooyin shaki leh tafatiraha qoraal, interface web ama IDE, laakiin isku-duwaha iyo turjubaanka ayaa isticmaali doona habka macquulka ah ee jilayaasha oo waxay qabanayaan koodka xaasidnimada ah sida ay tahay, iyadoon loo eegin qoraalka laba jiho ee faallada. Dhowr tifaftirayaasha koodka caanka ah (VS Code, Emacs, Atom), iyo sidoo kale is dhexgalyada koodka lagu daawado kaydadka (GitHub, Gitlab, BitBucket, iyo dhammaan alaabada Atlassian) ayaa la saameeyay.
Waxaa jira dhowr siyaabood oo loo isticmaalo habka loo hirgeliyo ficillada xaasidnimada ah: ku dar odhaah qarsoon "soo noqoshada", taas oo horseedaysa joojinta fulinta shaqada si degdeg ah; Gabagabada faallooyinka tibaaxaha sida caadiga ah loo tixgeliyo dhismayaal ansax ah (tusaale ahaan, in la joojiyo jeegaga muhiimka ah); U qoondaynta qiyamka xargaha kale ee u horseedaya guuldarrooyinka ansixinta xadhigga.
Sidoo kale, Doorasho kale oo weerar ah ayaa la soo jeediyay (CVE-2021-42694), kaas oo ku lug leh isticmaalka homoglyphs, calaamado u muuqda kuwo isku mid ah, laakiin ku kala duwan macnahooda oo leh nambaro Unicode oo kala duwan. Jilayaashan waxaa loo isticmaali karaa luqadaha qaar si ay u shaqeeyaan iyo magacyo kala duwan si loo marin habaabiyo horumariyeyaasha. Tusaale ahaan, waxaad qeexi kartaa laba hawlood oo leh magacyo aan la kala saari karin oo fuliya falal kala duwan. Haddii aan si faahfaahsan loo lafa gurayn, isla markiiba ma fahmi kartid labadan hawlood midkee loogu yeedhay meel gaar ah.
Sida cabbirka ilaalinta, waxaa lagu talinayaa in lagu fuliyo iskudubaridyada, turjumaanada iyo qalabka isku xidhka ee taageera xuruufta Unicode, oo muujinaya khalad ama digniin haddii ay jiraan jilayaal kontorool oo aan lammaane ahayn faallooyinka, xargaha xargaha, ama tilmaamayaasha beddela jihada wax soo saarka. Jilayaashan waa in sidoo kale si cad looga mamnuuco qeexida luuqadda barnaamijka waana in lagu xisaabtamaa tifaftirayaasha code-ka iyo is-dhex-galka ka shaqaynta kaydinta.
Taas ka sokow baylahda ayaa durba bilaabay in la hagaajiyo loo diyaariyey GCC, LLVM / Clang, Rust, Go, Python iyo binutils. GitHub, Bitbucket iyo Jira ayaa sidoo kale mar horeba u diyaarinayey xal si wadajir ah GitLab.
Finalmente Haddii aad xiisaynayso inaad waxbadan ka ogaato, waad tashan kartaa faahfaahinta xiriiriyaha soo socda.