Согласно исследованию, основным методом успешных атак на организации по-прежнему остается вредоносное ПО: оно использовалось в 63% случаев. При этом доля распространения ВПО через сайты достигла 13%: это почти вдвое больше, чем в аналогичный период 2024 г. Рекордное за три года количество таких атак вызвано ростом популярности схем, нацеленных на разработчиков. С помощью компрометации открытых репозиториев и тайпсквоттинга киберпреступники внедряются в цепочки поставок ПО.
Размещая фиктивные проекты на популярных платформах для разработчиков GitHub и GitLab злоумышленники обманом заставляют пользователей запускать вредоносную полезную нагрузку, отвечающую за извлечение дополнительных компонентов из контролируемого злоумышленником репозитория и их выполнение. В результате на устройства жертв загружаются трояны удаленного доступа и шпионское ПО.
В России, Бразилии и Турции, например, от вредоносной кампании под видом проектов с открытым исходным кодом пострадали геймеры и криптовалютные инвесторы. На их устройства загружался инфостилер, крадущий адреса криптокошельков, личные и банковские данные. В США, Европе и Азии не менее 233 жертв пострадали от кампании группировка Lazarus: она внедряла JavaScript-имплант, предназначенный для сбора системной информации.
"Тактика APT-группировок эволюционирует: они переходят от массового фишинга к целевым атакам на разработчиков. Их новая цель — цепочки поставокразличных технологий. Внедряя вредоносное ПО в процессы разработки, злоумышленники наносят двойной удар: поражают не только саму жертву, но и проекты, с которыми она связана. Мы прогнозируем, что этот тренд будет набирать обороты: атаки на ИТ-компании и разработчиков с целью подрыва цепочек поставок будут происходить чаще", — комментирует Анастасия Осипова, младший аналитик исследовательской группы Positive Technologies.
С начала 2025 г. злоумышленники также активно использовали в экосистемах с открытым исходным кодом технику тайпсквоттинга, рассчитывая на ошибки пользователей при вводе названий пакетов. К примеру, специалисты PT ESC выявили в репозитории PyPI вредоносную кампанию, нацеленную на разработчиков, ML-специалистов и энтузиастов, заинтересованных в интеграции DeepSeek в свои системы. Вредоносные пакеты deepseeek и deepseekai могли собирать данные о пользователе и его компьютере, а также похищать переменные окружения.
Эксперты рекомендуют производителям программного или программно-аппаратного обеспечения выстроить процессы безопасной разработки и обеспечить защиту цепочки поставок. Основные меры включают внедрение инструментов, позволяющих выявлять уязвимости в коде и тестировать безопасность приложений, а также решений для динамического анализа кода и анализаторов пакетов. Кроме того, необходимо своевременно обновлять системы управления исходным кодом, которые используются в процессе разработки.
В целом, согласно отчету Positive Technologies, 52% успешных атак на организации приводят к утечкам конфиденциальной информации, включая учетные данные (25%) и коммерческую тайну (15%). Нарушение основной деятельности с начала 2025 г. происходило в 45% успешных атак, что на 13 п. п. больше, чем в предыдущем полугодии.