【安全资讯】开源工具Tirith可检测并阻断命令行环境中的同形异义字攻击

概要：

在网络安全威胁日益复杂的今天，攻击者不断翻新手段，利用视觉欺骗技术发起攻击。一种名为“同形异义字攻击”的技术，通过在命令行中嵌入与合法字符外观相似但编码不同的字符，诱骗用户执行恶意命令。针对这一威胁，一款名为Tirith的开源跨平台工具应运而生，旨在为终端用户提供实时防护。

主要内容：

Tirith工具通过挂钩到用户的Shell环境（如zsh、bash、fish、PowerShell），实时检查用户粘贴执行的每条命令。其核心功能是检测并阻止包含同形异义字符的URL。攻击者利用Unicode字符集中外观相似但编码不同的字符，注册与知名品牌域名极其相似的恶意域名。在用户看来，域名是可信的，但计算机会将其解析到攻击者控制的服务器。

该工具能够防御多种攻击类型，包括同形异义字攻击、终端注入、管道到Shell模式、点文件劫持、不安全传输、供应链风险以及凭证暴露。例如，过去曾出现利用此类字符进行网络钓鱼，仿冒Booking.com等知名网站。此外，在ClickFix攻击中广泛使用的隐藏字符命令，也是其防御目标之一。

Tirith的所有分析均在本地完成，无需网络连接，不修改用户命令，也不在后台运行，确保了用户隐私和安全。其性能开销在亚毫秒级别，检查过程瞬时完成。工具支持Windows、Linux和macOS系统，可通过多种包管理器安装。尽管发布不到一周，该项目已在GitHub上获得了广泛关注，显示出社区对此类防护工具的迫切需求。