Um novo método de ofuscação de JavaScript que utiliza caracteres Unicode invisíveis para representar valores binários está sendo usado ativamente em ataques de phishing. Os primeiros ataques descobertos haviam sido feitos contra afiliados de um comitê de ação política (PAC) americano. A descoberta foi feita pelo Juniper Threat Labs, no início de janeiro de 2025. Entre as características sofisticadas estão: informações personalizadas não públicas para atrair as vítimas, ponto de interrupção do debugger e verificações de tempo para evitar detecção, e links de rastreamento do Postmark, encapsulados recursivamente para ofuscar os destinos finais.
Leia também
Astaroth (ofuscado) ataca cliente bancário no Brasil
Roubo de APIs de IA segue em nível elevado
O desenvolvedor de JavaScript Martin Kleppe divulgou pela primeira vez a técnica de ofuscação em outubro de 2024, e sua rápida adoção em ataques reais destaca a rapidez com que novas pesquisas se tornam armas. A nova técnica de ofuscação explora caracteres Unicode invisíveis, especificamente Hangul de meia largura (U+FFA0) e Hangul de largura total (U+3164).
Cada caractere ASCII na carga útil do JavaScript é convertido em uma representação binária de 8 bits, e os valores binários (uns e zeros) nele são substituídos por caracteres Hangul invisíveis. O código ofuscado é armazenado como uma propriedade em um objeto JavaScript e, como os caracteres de preenchimento Hangul são renderizados como espaços em branco, a carga útil (payload) no script parece vazia.
Os analistas da Juniper relatam que os invasores usam etapas extras de ocultação além das mencionadas, como codificar o script com base64 e usar verificações antidepuração para evitar a análise.
