🧩 Open-source под атакой: взрывной рост вредоносных пакетов в 2025 году
🚨 В первом полугодии 2025 количество вредоносных библиотек в открытых репозиториях выросло на 188% по сравнению с прошлым годом!
Исследование Sonatype выявило 16 279 заражённых пакетов в PyPI и npm — абсолютный антирекорд.
Подробнее — в ITPro.
🛑 Что делают вредоносные пакеты?
55% из них ориентированы на кражу данных: пароли, токены, персональные данные, ключи API, MongoDB-строки, .git-credentials.
Некоторые запускают шифрованный бекдор, чтобы ускользнуть от анализаторов.
Удельный вес криптомайнеров снизился до 5%, но выросло число деструктивных payload’ов, намеренно нарушающих работу приложений (до 3%).
🎭 Атакующие маскируются под настоящих разработчиков
Один из кейсов — модуль crypto-encrypt-ts, замаскированный под популярную библиотеку CryptoJS. Он тайно воровал ключи и кошельки.
Были выявлены атаки от группировки Lazarus: более 100 вредоносных пакетов в npm, свыше 30 000 установок.
Цель — CI/CD‑среда. Упор делается на зависимые сборки и supply chain-интеграции, где пакеты автоматически устанавливаются без ручной валидации.
📦 npm — главный источник угроз
Почти 99% вредоносных библиотек найдены именно в npm.
Это объясняется огромным
количеством проектов на Node.js, особенно в Web3 и DevOps и отсутствием достаточной валидации новых пакетов
К тому же, злоумышленники используют shadow downloads — скачивание библиотек напрямую по URL, минуя менеджеры пакетов, что делает мониторинг почти невозможным. В 2024 таких загрузок было больше 15 миллиардов.
🤖 Атаки ускоряются благодаря ИИ
AI-инструменты используются хакерами для:
➖Генерации названий пакетов, похожих на популярные
➖Написания фейковых README и документации
➖Создания обфусцированных вредоносных скриптов
➖Массовой публикации сотен модулей в час
Так началась новая эра: ИИ против ИИ — атаки создаются автоматически, защиту тоже нужно автоматизировать.
✅ Кто виноват? Что делать?
➖Используйте системы сканирования зависимостей (например, Sonatype, Phylum, Snyk).
➖Настройте контроль CI/CD-процессов — запретите автоматическую установку пакетов без проверки.
➖Минимизируйте зависимости — каждое лишнее подключение — потенциальная точка взлома.
➖Следите за обновлениями: обновляйте уязвимые модули, особенно с критическими CVE.
➖Обучайте разработчиков — они первая линия обороны. Объясните, как выглядят опасные зависимости и фальшивые пакеты.
🔚 В заключение
📌 Open-source не просто «бесплатный код», а основной вектор атак на инфраструктуру разработки.
📌 Supply chain-компрометации - не гипотеза, а реальность, которую используют как APT-группы, так и одиночки.
📌 Время думать не только о CVE, но и о CVE-подобных инцидентах внутри цепочек поставок кода.
Stay secure and read SecureTechTalks 📚
#opensource #malware #supplychain #npm #pypi #devsecops #infosec #lazarus #aicscans #SecureTechTalks
