Поделиться
Хакеры массово минируют код на самом популярном языке программирования
Хакеры в декабре 2025 г. стали активно публиковать библиотеки с зараженным кодом в публичных репозиториях. Количество вредоносных пакетов в репозитории Python Package Index, который используется ИТ-разработчиками на языке программирования Python, за 11 месяцев увеличилось на 54% — до 514 штук против 333 пакетов в 2024 г. Это приводит к тому, что программисты, использующие зараженные фрагменты кода, создают решения с ИТ-уязвимостями.
ИТ-атаки через публичные библиотеки
Злоумышленники все чаще атакуют ИТ-разработчиков через публичные библиотеки кода, пишут «Ведомости». Количество вредоносных пакетов в репозитории Python Package Index (PyPI) т.е. основной каталог для языка Python, за 11 месяцев 2025 г. выросло на 54%.
Со слов руководителя департамента Threat Intelligence экспертного центра безопасности Positive Technologies Дениса Кувшинова, хакеры стали активно публиковать библиотеки с зараженным кодом в публичных репозиториях. Количество вредоносных пакетов в репозитории PyPI, который используется ИТ-разработчиками на языке программирования Python, за 11 месяцев 2025 г. увеличилось на 54% — до 514 штук против 333 пакетов в 2024 г. Это приводит к тому, что разработчики, использующие зараженные фрагменты кода, создают ИТ-решения с ИТ-уязвимостями.
Специалисты компании Bi.Zone фиксируют еще более тревожную динамику: по их данным, рост числа «зараженных» пакетов превысил 150%. Используя такие библиотеки, программисты сами того не ведая встраивают уязвимости в свои проекты — от веб-сервисов до ИТ-систем аналитики данных. Некоторые публичные репозитории, например Visual Studio Code Marketplace, Anaconda Packages, автоматически проверяют новые библиотеки на возможные проблемы, говорит Денис Кувшинов. PyPI и Node Package Manager (NPM) — главный репозиторий пакетов для JavaScript не делают таких проверок перед публикацией, но позволяют сообществу информационной безопасности (ИБ) и энтузиастам пожаловаться на вредоносную библиотеку, отмечает эксперт.
Вредоносная активность, затрагивающая публичные репозитории кода, как правило, не ограничивается какой-то одной страной, ставя цель охватить как можно больше жертв, подчеркивает Кувшинов. «ИТ-угроза с распространением вредоносных пакетов касается в том числе и ИТ-разработчиков из России, но целенаправленного создания вредоносных пакетов под страну, отрасль или компанию мы не наблюдали», отметил он.
Популярность языка
Python — это высокоуровневый язык программирования, отличающийся эффективностью, простотой и универсальностью использования. Он широко применяется в разработке веб-приложений и прикладного программного обеспечения (ПО), а также в машинном обучении (ML) и обработке больших данных. За счет простого и интуитивно понятного синтаксиса является одним из распространенных языков для обучения программированию.
Учитывая, что Python является самым популярным языком программирования в мире, под угрозой может оказаться огромное количество корпоративных и пользовательских ИТ-решений. Согласно результатам опроса Stack Overflow 2024, доля Python в программировании составляет около 25% по индексу мирового рейтинга популярности языков программирования в 2025 г., его использовал 51% ИТ-разработчиков в мире.
Автоматизация кибератак
Руководитель Bi.Zone Threat Intelligence Олег Скулкин указал на рост автоматизации публикаций библиотек с помощью ботов и больших языковых моделей для ускоренной генерации больших объемов вредоносного кода. Мошенники применяют тайпсквоттинг – создают библиотеки с названиями, похожими на оригинальные, и публикуют их в открытых репозиториях, добавил он. По словам руководителя направления сертификации Cloud.ru Сергея Барсукова, тайпсквоттинг используется примерно в 70% всех кибератак с вредоносными пакетами.
Цели злоумышленников
Главной целью злоумышленников остается кража информации, причем особый упор делается на криптовалюту, подтверждают Кувшинов и Скулкин: с помощью вредоносного кода злоумышленники отслеживают буфер обмена для подмены кошельков. При этом как в PyPI, так и в NPM продолжают распространяться стандартные стилеры, нацеленные на конфиденциальные данные, отмечают опрошенные «Ведомостями» эксперты.
По словам Олега Скулкина, кибератаки через зараженные пакеты представляют серьезную ИТ-угрозу прежде всего для разработчиков, поскольку создают риск утечки конфиденциальных данных, компрометации ключей доступа и внедрения вредоносного кода уже на стадии сборки приложений. Пострадать от таких ИТ-инцидентов могут также коммерческие компании и государственные структуры: использование зараженного пакета в процессе создания ИТ-продукта приводит к компрометации всей организации. Кроме того, под ИТ-угрозой оказываются цепочки поставок ПО, где подобные кибератаки способны вызвать утечки данных, значительные финансовые потери и иные негативные последствия, подчеркнул эксперт.
По данным Bi.Zone Threat Detection and Response (TDR), хакеры используют зараженные пакеты как для сложных таргетированных кибератак на конкретные организации, так и для массового заражения. В последнем случае в качестве жертв выступают любые организации или даже физические лица, которые используют то или иное ПО, уточнил Олег Скулкин.
По словам Алексея Барсукова, основными объектами кибератак с использованием зараженных пакетов являются компании корпоративного сектора. Такие ИТ-инциденты могут привести к утечке коммерческой тайны и клиентских данных, компрометации производственных ИТ-систем, финансовым потерям из-за простоев, репутационному ущербу и утрате доверия со стороны заказчиков. Особое внимание ИБ-эксперт обращает на облачных провайдеров: после успешной ИТ-атаки хакеры получают возможность несанкционированно использовать их вычислительные ресурсы как для создания бот-сетей и проведения DDoS-атак, так и для скрытого майнинга криптовалюты, заключил он.
Короткая ссылка
