Вредоносных open source-библиотек стало в 11 раз больше в 2025 году
3 мин
52
2
В 2025 году зарегистрировано 457 тысяч вредоносных пакетов. Это в 11 раз больше количества вредоносного ПО, обнаруженного в open source в 2024 году, рассказали в CodeScoring.
Угрозу цепочке поставки ПО представляют не только вредоносные элементы, но и компоненты с уязвимостями. За 2025 год зарегистрировано 14 тысяч новых уязвимостей в открытых компонентах. Сохраняется проблематика находок прошлых лет. Например, по-прежнему актуальна уязвимость Log4Shell из Java-библиотеки log4j, обнаруженная ещё в 2021 году. Она может обеспечить злоумышленнику удалённое выполнение кода. Получить такой баг в собственный продукт можно через 15 тысяч сторонних библиотек, которые до сих пор используют уязвимую версию log4j. Как отмечают исследователи информационной безопасности, в силе остается угроза занесения бэкдоров, стилеров, шифровальщиков и другого вредоносного ПО вместе со сторонними компонентами.
В 2025 году впервые появился самораспространяющийся «пакетный» червь-вредонос Shai Hulud, нацеленный на кражу чувствительных данных на заражённом узле. Об этом вредоносе мы рассказывали в одном из предыдущих материалов.
Таксономия атак дополнилась новым вектором — slopsquatting. Это разновидность атаки, в которой большая языковая модель, используемая для создания кода, галлюцинирует и рекомендует несуществующие библиотеки.
Галлюцинации в среднем происходят в каждом пятом случае, но воспроизводятся в 58% случаев. Каждый разработчик, применяющий ИИ-ассистентов, сталкивается с галлюцинациями в названиях пакетов. Однако не все видят в этом угрозу безопасности.
Злоумышленники могут использовать галлюцинации для создания заведомо вредоносных библиотек, которые рекомендуются программистам. По данным компании, в России 30% программистов применяют ИИ-ассистентов в своей работе.
Кибербез-специалисты рекомендуют применять набор гигиенических практик разработки для защиты цепочки поставки, а также использовать полное фиксирование названий и версий библиотек, применяемых для сборки ПО. При установке библиотек важен запрет исполнения скриптов. Чтобы защитить компанию, необходимо следовать рекомендациям ГОСТ Р 56939-2024 и реализовывать практики безопасной разработки. Также не стоит пренебрегать композиционным анализом ПО, проверкой компонентов, попадающих в контур организации, изоляцией сборки и антивирусным контролем.
