GitHub и GitLab — новые минные поля: наступил, и привет, инфостилер

вредоносное по тайпсквоттинг разработчики цепочки поставок Positive Technologies
GitHub и GitLab — новые минные поля: наступил, и привет, инфостилер
вредоносное по тайпсквоттинг разработчики цепочки поставок Positive Technologies

Атаки на разработчиков через open source-платформы достигли нового уровня.

image

Аналитики Positive Technologies опубликовали обзор киберугроз за первое полугодие 2025 года. Основным методом успешных атак на организации остаётся вредоносное ПО, которое применялось в 63% случаев. Доля заражений через сайты достигла 13% — почти вдвое больше, чем в аналогичный период 2024 года. Рост связан с распространением схем, нацеленных на разработчиков: злоумышленники используют компрометацию открытых репозиториев и тайпсквоттинг для внедрения в цепочки поставок программного обеспечения.

Для атаки преступники размещают фиктивные проекты на GitHub и GitLab. Пользователи запускают вредоносную нагрузку, которая загружает дополнительные компоненты из контролируемых репозиториев. В результате на устройства попадает шпионское ПО и трояны удалённого доступа.

В России, Бразилии и Турции от таких кампаний пострадали геймеры и криптоинвесторы: на их компьютеры загружался инфостилер, похищавший криптокошельки, личные и банковские данные. В США, Европе и Азии от атак группировки Lazarus пострадало не менее 233 жертв. Им внедрялся JavaScript-имплант, собирающий системную информацию.

Positive Technologies отмечает, что APT-группы уходят от массового фишинга и переключаются на целевые атаки против разработчиков. Их целью становятся цепочки поставок различных технологий. Такой подход позволяет не только заражать конкретных пользователей, но и оказывать влияние на проекты, с которыми они связаны. Эксперты прогнозируют дальнейшее усиление этой тенденции: число атак на ИТ-компании и разработчиков ради подрыва цепочек поставок будет расти.

С начала 2025 года особое распространение получила техника тайпсквоттинга в экосистемах с открытым кодом. Специалисты PT ESC зафиксировали в PyPI кампанию с вредоносными пакетами deepseeek и deepseekai. Они маскировались под популярные библиотеки, но фактически собирали сведения о пользователях, параметрах компьютера и похищали переменные окружения.

В компании подчеркивают необходимость выстраивания процессов безопасной разработки и защиты цепочек поставок. Для этого следует применять инструменты для выявления уязвимостей, динамического анализа приложений и проверки пакетов. Также важно своевременно обновлять системы управления исходным кодом, используемые в разработке.

По итогам анализа установлено, что 52% успешных атак приводили к утечке конфиденциальной информации. Чаще всего похищались учетные данные (25%) и коммерческая тайна (15%). Нарушение работы организаций произошло в 45% случаев — это на 13 процентных пунктов больше, чем во втором полугодии 2024 года.