Auf einen Blick
Ein bekannter Angriff mit unsichtbaren Unicode-Zeichen bleibt für GitHub-Repositories relevant. Dabei kann Code in Dateien anders erscheinen als er von Compilern oder Interpretern verarbeitet wird. Für Projekte erhöht das das Risiko bei Code-Reviews, Pull Requests und der Prüfung von Abhängigkeiten.
Das Wichtigste
- Unsichtbare Steuerzeichen aus Unicode können die Darstellung von Quellcode auf GitHub und in Editoren verändern.
- Das bekannte Muster “Trojan Source” nutzt unter anderem bidirektionale Zeichen wie U+202E, die die sichtbare Reihenfolge von Code beeinflussen.
- Betroffen sind vor allem Repositories mit externen Beiträgen, Review-Prozesse und Projekte mit vielen Abhängigkeiten.
Angriffstechnik bleibt in Repositories relevant
Unsichtbare Unicode-Zeichen in Quellcode erhöhen weiterhin das Sicherheitsrisiko auf GitHub. Die Technik kann dazu führen, dass Menschen beim Lesen eines Commits oder einer Datei etwas anderes sehen als das, was ein Compiler oder Interpreter tatsächlich ausführt. Für Maintainer und Unternehmen betrifft das vor allem die Prüfung von Pull Requests und die Integrität von Software-Lieferketten.
Was technisch hinter dem Risiko steht
Grundlage ist der seit 2021 bekannte Angriff “Trojan Source”. Er nutzt Steuerzeichen aus dem Unicode-Standard, die die Schreibrichtung von Text beeinflussen. Dazu zählen etwa Zeichen aus dem Bereich U+202A bis U+202E sowie Isolationszeichen wie U+2066 bis U+2069. Nach der Unicode-Spezifikation verändern diese Zeichen die visuelle Darstellung, nicht aber die logische Reihenfolge der Codepunkte. Genau daraus entsteht das Problem: Ein Code-Reviewer kann eine Zeile anders wahrnehmen, als sie vom System verarbeitet wird. Die Angriffstechnik lässt sich mit ähnlich aussehenden Zeichen aus verschiedenen Schriftsystemen kombinieren, um Bezeichner zu verschleiern.
Folgen für Projekte und Plattformen
Für GitHub-Projekte steigt damit das Risiko, dass schädliche Änderungen in Reviews übersehen werden. Das betrifft einzelne Dateien ebenso wie Abhängigkeiten in Open-Source-Paketen. Institutionell führt das zu strengeren Prüfregeln in Entwicklungsumgebungen, internen Richtlinien und automatischen Scans in CI-Systemen. GitHub selbst verweist in seinem Blog als Quelle für das Grundproblem auf die Forschung zu “Trojan Source”. Welche zusätzlichen plattformspezifischen Änderungen seit 2025 im Detail gelten, bleibt bislang offen.
Womit als Nächstes zu rechnen ist
Absehbar sind weitere technische Kontrollen in Entwicklungswerkzeugen und Prüfketten. Bereits etabliert sind Warnhinweise in Editoren, Scans auf bidirektionale Steuerzeichen und Regeln gegen gemischte Schriftsysteme in Bezeichnern. Für Repository-Betreiber bleibt die praktische Frage, ob solche Zeichen grundsätzlich blockiert oder nur markiert werden. Das ist vor allem dort relevant, wo legitime Inhalte in rechts-nach-links geschriebenen Sprachen vorkommen.
Einordnung
Das Risiko durch unsichtbare Unicode-Zeichen auf GitHub ist technisch seit Jahren bekannt, aber nicht erledigt. Der Angriff verändert keine Funktionen von Programmiersprachen, sondern nutzt Unterschiede zwischen Anzeige und Ausführung. Für die Bewertung von Code bleibt das ein konkretes Problem in der Lieferkette von Software.
