Новый вектор атак — разработчики и их инструменты
Positive Technologies в свежем отчёте фиксирует рекордный рост атак через GitHub и GitLab. Злоумышленники создают фиктивные проекты с открытым исходным кодом и прячут внутри загрузчик. После запуска такой проект загружает дополнительные модули с сервера, и на устройство попадают трояны для удалённого управления и инфостилеры.
Масштаб угрозы в 2025 году
* В первой половине 2025 года вредоносное ПО применялось в 63 % всех атак.
* Канал заражений через сайты и репозитории вырос почти вдвое: с 7 % годом ранее до 13 % в 2025 году.
* Основная цель атак — цепочка поставок: заразив одного разработчика, можно скомпрометировать его проект и пользователей этого проекта.
Тайпсквоттинг как главный инструмент
Для привлечения жертв злоумышленники используют тайпсквоттинг — регистрируют пакеты с названиями, похожими на оригинальные. Например, deepseeek или deepseekai вместо deepseek. Разработчик может не заметить лишнюю букву и загрузить не библиотеку для ML, а троян, который ворует переменные окружения, пароли и другие данные.
Подобные случаи уже фиксировались в репозитории PyPI, где вредоносные пакеты были опубликованы под видом популярных библиотек.
Смена тактики атакующих
Фишинг постепенно теряет эффективность и перестаёт приносить злоумышленникам прежнюю отдачу. На первый план выходят атаки на разработчиков и их инструменты, которые становятся новым мейнстримом.
География и примеры атак
* В России, Бразилии и Турции злоумышленники нацеливались на геймеров и криптоинвесторов. На их устройства устанавливали инфостилеры, крадущие данные кошельков и банковскую информацию.
* В США, Европе и Азии атаке подверглись более 230 человек. Группировка Lazarus распространяла JavaScript-имплант, собирающий системную информацию.
Итоги отчёта
* Малварь остаётся основным инструментом атак (63 %).
* Доля атак через сайты и репозитории выросла до 13 %.
* Основное внимание киберпреступников смещается на разработчиков и их проекты.
⬇️Поддержать автора⬇️
✅SBER: 2202 2050 7215 4401