本月初，劍橋大學的研究人員披露了在源代碼中隱藏人眼看不見的漏洞的攻擊方法 Trojan-Source，攻擊利用的是 Unicode 中的雙向機制。現在，安全研究人員披露了在 JavaScript 中發動類似攻擊的方法。在 JavaScript 中創造看不見的后門首先需要尋找能被 JS 解釋為標識符/變量的不可見的 Unicode 字符，然后尋找使用不可見字符不被注意到的方法。這種方法無法通過語法高亮檢測出來。攻擊需要 IDE/文本編輯器能正確渲染不可見的字符。Notepad++ 和 VS Code 都能正確渲染。