Анонс лучших ИБ мероприятий
Image

Твоя ИБ-афиша готова

Здесь только лучшие вебинары, курсы и конференции по ИБ.

История коммитов чистая. Автор — вы. Дата — ваша. Код — чужой. Вот почему git log больше нельзя доверять безоговорочно

leer en español

StepSecurity GitHub ForceMemo GlassWorm Python Solana кибератака
История коммитов чистая. Автор — вы. Дата — ваша. Код — чужой. Вот почему git log больше нельзя доверять безоговорочно
StepSecurity GitHub ForceMemo GlassWorm Python Solana кибератака

Странная метка в логах сулит серьёзные неприятности.

image

Масштабная атака на цепочку поставок программного обеспечения затронула сотни репозиториев на GitHub. Злоумышленники захватывают аккаунты разработчиков и незаметно внедряют вредоносный код в популярные Python-проекты, включая библиотеки, веб-приложения и исследовательские наработки.

Команда StepSecurity зафиксировала кампанию, получившую название «ForceMemo». Первые заражения появились 8 марта 2026 года, после чего число скомпрометированных репозиториев продолжило расти. Вредоносный код добавляют в ключевые файлы вроде setup.py, main.py или app.py. При установке пакета или запуске проекта запускается скрытая нагрузка.

Захват аккаунтов происходит через вредоносное ПО GlassWorm, которое распространяется через заражённые расширения для Visual Studio Code и Cursor. Программа крадёт токены доступа к GitHub из разных источников, включая локальные файлы и переменные окружения. Получив доступ, атакующий внедряет код сразу во все репозитории жертвы.

Метод подмены выглядит особенно скрытно. Злоумышленник берёт последний легитимный коммит, добавляет вредоносный код и выполняет принудительную отправку изменений. История репозитория при этом сохраняет прежние автора, сообщение и дату, а подмену выдаёт только дата коммиттера. Во многих случаях в поле электронной почты указан «null», что стало характерным признаком атаки.

После запуска программа обращается не к обычному серверу управления, а к блокчейну Solana. Там хранится ссылка на следующую стадию атаки, что делает инфраструктуру устойчивой к блокировкам. После получения инструкции вредонос загружает Node.js, скачивает зашифрованный JavaScript-файл и выполняет его. В системе создаётся файл для повторного запуска через два дня. Такая схема характерна для похитителей данных и криптокошельков.

Анализ активности показал, что инфраструктура атаки использовалась ещё с конца 2025 года. Текущая волна на GitHub стала развитием прежней кампании GlassWorm. Ранее злоумышленники уже заражали репозитории, но применяли другие методы маскировки.

Под удар попали проекты на Django, Flask, Streamlit и библиотеки, устанавливаемые напрямую из GitHub. В ряде случаев заражение затронуло сразу несколько репозиториев одного владельца или организации, что подтверждает компрометацию аккаунтов.

Атака остаётся активной. Разработчикам рекомендуют проверять историю коммитов, обращать внимание на расхождение дат и искать характерный маркер вредоносного кода. Также стоит контролировать появление подозрительных файлов и неожиданных сетевых соединений при сборке проектов.