В декабре 2025 года злоумышленники активизировали размещение вредоносных библиотек в открытых хранилищах кода. Число опасных пакетов в Python Package Index (PyPI) — основном каталоге для разработчиков на Python — за одиннадцать месяцев возросло на 54%, достигнув 514 единиц по сравнению с 333 в 2024 году. В результате программисты, неосознанно применяя зараженные фрагменты, создают программные продукты, содержащие уязвимости.
Как сообщают «Ведомости», атаки на IT-разработчиков через публичные библиотеки кода становятся всё более частыми. За указанный период в репозитории PyPI было обнаружено на 54% больше вредоносных пакетов.
По словам Дениса Кувшинова, руководителя департамента Threat Intelligence экспертного центра безопасности Positive Technologies, хакеры целенаправленно публикуют библиотеки с вредоносным кодом в открытых репозиториях. Рост опасных пакетов в PyPI за 11 месяцев 2025 года составил 54%, что ведёт к созданию уязвимых IT-решений при использовании такого кода.
Специалисты Bi.Zone отмечают ещё более резкую динамику: по их информации, увеличение числа «заражённых» пакетов превысило 150%. Используя подобные библиотеки, разработчики невольно внедряют уязвимости в свои проекты — от веб-сервисов до систем аналитики данных. Некоторые публичные репозитории, такие как Visual Studio Code Marketplace и Anaconda Packages, автоматически проводят проверку новых библиотек на потенциальные угрозы, поясняет Денис Кувшинов. В то же время PyPI и Node Package Manager (NPM) — ключевой репозиторий для JavaScript — не выполняют предварительной проверки перед публикацией, но позволяют сообществу информационной безопасности и энтузиастам сообщать о подозрительных библиотеках.
Вредоносная активность, связанная с публичными репозиториями кода, обычно не привязана к конкретной стране и нацелена на максимальный охват жертв, подчёркивает Кувшинов. «Угроза от распространения вредоносных пакетов затрагивает, в том числе, и российских IT-разработчиков, однако целенаправленного создания таких пакетов под определённую страну, отрасль или компанию мы не фиксировали», — отметил он.
Python — это высокоуровневый язык программирования, известный своей эффективностью, простотой и широкой областью применения. Он активно используется при создании веб-приложений и прикладного программного обеспечения, а также в машинном обучении и обработке больших данных. Благодаря интуитивно понятному синтаксису он также является одним из популярных языков для обучения программированию.
Учитывая, что Python занимает лидирующие позиции среди языков программирования в мировом масштабе, под угрозу может попасть колоссальное число корпоративных и пользовательских IT-систем. Согласно данным исследования Stack Overflow за 2024 год, доля Python в мировой практике разработки составляет порядка 25% согласно индексу популярности языков программирования на 2025 год, при этом его применяли 51% IT-специалистов по всему миру.
Руководитель Bi.Zone Threat Intelligence Олег Скулкин отметил увеличение доли автоматизированной публикации библиотек посредством ботов и больших языковых моделей, что ускоряет генерацию значительных объемов вредоносного кода. Мошенники также прибегают к тайпсквоттингу — создают библиотеки с названиями, сходными с легитимными, и размещают их в открытых репозиториях, добавил он. Как сообщил руководитель направления сертификации Cloud.ru Сергей Барсуков, метод тайпсквоттинга фигурирует примерно в 70% всех кибератак с использованием вредоносных пакетов.
Основной целью злоумышленников по-прежнему остается хищение информации, с особым вниманием к криптовалютным активам, что подтверждают Кувшинов и Скулкин: с помощью вредоносного кода злоумышленники мониторят буфер обмена для подмены адресов кошельков. При этом как в PyPI, так и в NPM продолжают циркулировать стандартные стилеры, нацеленные на конфиденциальную информацию, отмечают эксперты, опрошенные «Ведомостями».
По словам Олега Скулкина, кибератаки через зараженные пакеты представляют серьезную IT-угрозу в первую очередь для разработчиков, поскольку создают риски утечки конфиденциальных данных, компрометации ключей доступа и внедрения вредоносного кода уже на этапе сборки приложений. От подобных IT-инцидентов могут пострадать также коммерческие предприятия и государственные учреждения: использование зараженного пакета в процессе разработки IT-продукта ведет к компрометации всей организации. Кроме того, под угрозу попадают программные цепочки поставок, где такие атаки способны спровоцировать утечки данных, существенные финансовые убытки и другие негативные последствия, подчеркнул специалист.
Согласно информации Bi.Zone Threat Detection and Response (TDR), злоумышленники применяют зараженные пакеты как для сложных целевых атак на конкретные компании, так и для массового распространения вредоносного кода. Во втором случае жертвами могут стать любые организации или даже частные лица, использующие определенное программное обеспечение, уточнил Олег Скулкин.
Как отметил Алексей Барсуков, корпоративные организации становятся главной мишенью для киберпреступников, применяющих вредоносные программные пакеты. Подобные инциденты в сфере информационных технологий способны вызвать разглашение коммерческих секретов и персональных данных клиентов, нарушить работу производственных систем, привести к финансовому ущербу из-за остановки деятельности, нанести урон репутации и подорвать доверие потребителей. Эксперт в области информационной безопасности отдельно выделил угрозу для поставщиков облачных услуг: в случае успешного взлома злоумышленники получают доступ к их вычислительным мощностям, что позволяет создавать ботнеты, осуществлять DDoS-атаки или тайно заниматься майнингом криптовалют, подытожил специалист.
