19-20 мая индустрия безопасности зафиксировала три параллельные атаки одного актёра. Все три прошли через легитимные подписанные пайплайны. Это меняет всю модель доверия к стороннему ПО, которую последние два года выстраивали стандарты вроде SLSA.
Что произошло. Три цепочки, один сценарий
Атака 1. Пакет durabletask на PyPI.
19 мая, 15:08 UTC. Версия 1.4.1 пакета durabletask (официальный Python-SDK Microsoft для Durable Functions, 400 000 скачиваний в месяц) получила вредоносную начинку. Внутри - стилер на 28 килобайт.
Что он воровал:
ключи доступа AWS, Azure, GCP, Kubernetes;
содержимое менеджеров паролей;
более 90 разных конфигурационных файлов разработчика.
На Linux дополнительно запускался демон-вайпер. Версия 1.4.3 имела тот же код.
Точка входа: украденный токен GitHub Actions из репозитория microsoft/durabletask-python. Поверхность поражения: 400 тысяч установок в месяц.
Источники: Wiz, StepSecurity, Help Net Security.
Атака 2. Внутренние репозитории GitHub.
20 мая. GitHub официально подтвердил утечку 3800 внутренних репозиториев. Не клиентских данных, собственной кодовой базы. Вектор атаки - тот же актёр TeamPCP, который скомпрометировал durabletask. Один сотрудник установил отравленное расширение VS Code. Исходники появились на форуме Breached с прайсом 50 000 долларов.
Источники: BleepingComputer, Tom's Hardware, The Hacker News.
Атака 3. OpenClaw Claw Chain.
19 мая. Исследователи Cyera раскрыли 4 связанные уязвимости в OpenClaw. Максимальная оценка - 9.6 из 10 (это уровень «критично, патчить вчера»). Цепочка из 4 шагов: эксплуатация состояния гонки в песочнице, эскалация привилегий, закрепление, кража API-ключей и пользовательских токенов.
По данным сканеров Shodan и Zoomeye, в публичном доступе находится около 245 000 серверов с OpenClaw. Патч выпущен в версии v2026.4.22.
Источники: Cyera Research, The Hacker News, Hackread.
Почему это не три случайных истории, а одна
У всех трёх атак общий технический почерк (TTP, tactics, techniques, procedures): актёр компрометирует легитимный пайплайн сборки. Артефакт уходит в продакшен с правильной цифровой подписью и валидным происхождением (provenance). Все системы доверия срабатывают штатно.
И это разворачивает базовое предположение последних двух лет.
SLSA (Supply chain Levels for Software Artifacts) Build Level 3 - стандарт доверия к артефактам в цепочке поставок ПО. Подтверждает, что пакет был собран в защищённом пайплайне, на конкретной версии исходников, без вмешательства человека. До прошлой недели это считалось достаточным.
После 19-20 мая - нет.
SLSA подтверждает откуда пакет, не подтверждает что он безопасен. Если атакующий получает контроль над пайплайном - подпись уходит ему. Прокручивает все защиты «по пути».
«Подписано» больше не равно «безопасно».
Что это меняет для бизнеса
Если у вас работает разработка от 1 до 20 человек:
Цепочка поставок ПО - это поверхность атаки, на которой у вас нет контроля. Вы можете идеально писать свой код. Но 80% объёма проекта - это сторонние библиотеки. Каждое обновление - вход для актёра, который скомпрометировал чужой пайплайн.
Расширения IDE - вторая такая же поверхность. У GitHub утекли внутренние репозитории через одно расширение VS Code. У вас то же самое произойдёт через любую IDE, JetBrains, Cursor, Windsurf. Расширение в IDE = доступ ко всему, что видит разработчик.
Открытые AI-агентские фреймворки увеличивают поверхность ещё на порядок. OpenClaw, LangFlow, n8n - это серверы с большим количеством плагинов, скиллов и подключений. Один скилл от непроверенного автора - и у вас новый Claw Chain. С патчем через 2 недели после публикации.
Что делать на этой неделе
Я не пишу «купите EDR-систему за 50 000 в месяц». Большая часть гигиены - это 10 минут работы.
За 10 минут (любая команда):
Откройте список расширений в IDE. Отсортируйте по дате установки. Удалите свежие, которые не помните. Удалите от издателей без верификации с менее чем 100 000 установок.
Если разработчик ставил расширение «потому что коллега посоветовал» - проверьте имя издателя. Расширения с похожими именами от разных авторов - частая схема в TeamPCP-кампании.
В настройках IDE отключите авто-обновление расширений. Включайте обновление вручную и проверяйте release notes.
За 30 минут (команды с Python/JS/Go проектами):
Заморозьте версии зависимостей: pip freeze > requirements.txt для Python, npm ci вместо npm install для JS. Перейдите с диапазонов >=1.0 на точные версии ==1.4.0.
Включите Dependabot в GitHub. Он покажет, какие зависимости устарели и какие имеют известные CVE.
Подпишитесь на NVD feed (это база уязвимостей Министерства торговли США) по ключевым для вашего проекта библиотекам. Бесплатно.
За 2 часа (если у вас CI/CD):
Ротация секретов GitHub Actions каждые 90 дней. Поставьте напоминание в календарь.
Аудит permissions у токенов: какие репозитории видит каждый токен, какие операции разрешены. Принцип наименьших привилегий.
Если на бэкенде стоит OpenClaw - обновитесь до v2026.4.22 как минимум. Проверьте логи песочницы на манипуляции между этапом валидации и выполнения.
Главная мысль
Последние два года индустрия выстраивала систему доверия к стороннему коду через цифровые подписи, провенанс и SLSA-аттестации. За 36 часов выяснилось, что эта система защищает от случайных подмен, не от целенаправленных атак на сами пайплайны.
Для бизнеса это означает простую вещь: безопасность нельзя «купить» через одного вендора с защитой. Нужна процедура верификации внутри команды. Галочка «у нас есть SAST/DAST» больше не закрывает вопрос. Нужны конкретные практики приёма любых внешних зависимостей.
Это не вопрос на месяц. Это вопрос на 5-10 лет вперёд.