谷歌日历邀请函沦为攻击工具：单个字符即可投递恶意载荷

网络安全领域出现新型攻击手法：攻击者通过精心设计的混淆技术，将恶意代码隐藏在单个可见字符中，利用谷歌日历（Google Calendar）邀请函传播恶意软件。

隐蔽的Unicode字符藏匿恶意代码

2025年3月，Aikido安全研究人员发现名为"os-info-checker-es6"的可疑npm软件包。该软件包表面用于检查系统信息，实则暗藏恶意代码。

单个字符中的恶意载荷

研究人员在分析报告中指出："最令人震惊的是，看似普通的竖线符号'|'实际上包含不可见的Unicode私有区（PUA）字符。"这些Unicode保留字符本质不可打印，成为隐藏恶意代码的理想载体。解码后，该字符会转换为base64编码指令，最终连接至谷歌日历实施命令控制。

日历邀请函成为攻击媒介

调查显示，恶意软件通过谷歌日历邀请链接获取攻击载荷。邀请函中的base64编码字符串经解码后，会将受害者引导至攻击者控制的服务器。

解码后的负载最初看起来无害，仅记录console.log('Check')。但更深层次的分析揭示了更险恶的意图。

该软件包的1.0.8版本包含一个隐藏的编排脚本。虽然经过混淆，但这个脚本会解码并执行通过两阶段过程交付的额外JavaScript负载：

1. 第一阶段：获取托管在https://calendar.app.google/t56nfUUcugH9ZUkx9的页面——这是一个合法的谷歌日历邀请，在事件标题中包含base64编码的字符串
2. 第二阶段：解码该字符串以从外部服务器（如http://140.82.54[.]223/2VqhA0lcH6ttO5XZEcFnEA==）获取真正的恶意负载

谷歌云端硬盘链接

网络安全专家查理·埃里克森表示："这种攻击手段的演变令人担忧。攻击者利用用户普遍信任的谷歌日历平台，成功绕过了传统电子邮件安全机制。"Check Point研究团队也发现同类攻击，攻击者通过篡改邮件标头，使恶意邮件伪装成谷歌日历直接发送的通知。

多款npm软件包遭波及

攻击者并未止步于单个软件包。安全人员发现以下npm软件包均采用相同技术植入恶意依赖项：

• skip-tot
• vue-dev-serverr
• vue-dummyy
• vue-bit

这些软件包均将恶意模块"os-info-checker-es6"添加为依赖项，从而扩大攻击面。

防护建议

谷歌公司已确认该威胁，建议用户在日历设置中启用"仅接收已知联系人邀请"功能。安全专家补充建议：

• 警惕突发性日历邀请，特别是远期预约事件
• 接受邀请或点击链接前验证发送方身份
• 保持软件更新以修补安全漏洞
• 通过谷歌日历举报功能标记可疑邀请

此次攻击表明，网络犯罪分子正不断开发新型攻击载体，通过滥用可信平台与高级混淆技术实施攻击。将恶意代码隐藏在单个字符中，并利用谷歌日历作为传播渠道，这种新型攻击手段可能危及个人用户与企业组织的安全。