В декабре 2025 года злоумышленники активизировали размещение вредоносных библиотек в открытых хранилищах кода. Число опасных пакетов в Python Package Index (PyPI) — основном каталоге для разработчиков на Python — за одиннадцать месяцев возросло на 54%, достигнув 514 единиц по сравнению с 333 в 2024 году. В результате программисты, невольно используя зараженные фрагменты, создают приложения, содержащие уязвимости.
Как сообщают «Ведомости», атаки на IT-разработчиков через публичные библиотеки кода становятся всё более частыми. За указанный период в репозитории PyPI было обнаружено на 54% больше вредоносных пакетов.
По словам Дениса Кувшинова, руководителя департамента Threat Intelligence экспертного центра безопасности Positive Technologies, хакеры целенаправленно публикуют библиотеки с вредоносным кодом в открытых репозиториях. Рост опасных пакетов в PyPI за 11 месяцев 2025 года составил 54%, что ведет к созданию уязвимых IT-решений, если разработчики включают в свои проекты зараженные компоненты.
Специалисты Bi.Zone отмечают ещё более резкую динамику: по их оценкам, увеличение числа «заражённых» пакетов превысило 150%. Используя такие библиотеки, программисты неосознанно внедряют уязвимости в свои продукты — от веб-сервисов до систем аналитики данных. Некоторые публичные репозитории, такие как Visual Studio Code Marketplace и Anaconda Packages, автоматически проводят проверку новых библиотек на потенциальные угрозы, поясняет Денис Кувшинов. В то же время PyPI и Node Package Manager (NPM) — ключевой репозиторий для JavaScript — не выполняют предварительной проверки перед публикацией, но позволяют сообществу информационной безопасности и энтузиастам сообщать о подозрительных пакетах.
Вредоносная активность, нацеленная на публичные репозитории кода, обычно не ограничивается одной страной, стремясь охватить максимальное число жертв, подчёркивает Кувшинов. «Угроза, связанная с распространением вредоносных пакетов, затрагивает в том числе и российских IT-разработчиков, однако целенаправленного создания таких пакетов под конкретную страну, отрасль или компанию мы не фиксировали», — отметил он.
Python — это высокоуровневый язык программирования, известный своей эффективностью, простотой и широкой областью применения. Он активно используется при создании веб-приложений, прикладного программного обеспечения, а также в машинном обучении и обработке больших данных. Благодаря интуитивно понятному синтаксису он также является одним из самых популярных языков для обучения программированию.
Учитывая глобальное лидерство Python среди языков программирования, под потенциальный удар попадает колоссальное число корпоративных и пользовательских IT-систем. Согласно исследованию Stack Overflow 2024, Python занимает порядка 25% в мировом индексе популярности языков программирования к 2025 году, а его применяют около 51% разработчиков по всему миру.
Руководитель Bi.Zone Threat Intelligence Олег Скулкин отметил увеличение доли автоматизированной публикации библиотек посредством ботов и больших языковых моделей, что ускоряет генерацию обширных массивов вредоносного кода. Мошенники также прибегают к тайпсквоттингу — создают библиотеки со сходными с оригинальными названиями и размещают их в открытых репозиториях, добавил он. Как сообщил руководитель направления сертификации Cloud.ru Сергей Барсуков, тайпсквоттинг фигурирует приблизительно в 70% всех кибератак с использованием вредоносных пакетов.
Основной целью злоумышленников по-прежнему остаётся хищение информации, с особым фокусом на криптовалютные активы, что подтверждают Кувшинов и Скулкин: вредоносный код используется для мониторинга буфера обмена с целью подмены криптокошельков. При этом как в PyPI, так и в NPM продолжают циркулировать стандартные стилеры, нацеленные на конфиденциальную информацию, отмечают эксперты, опрошенные «Ведомостями».
Как пояснил Олег Скулкин, кибератаки через инфицированные пакеты представляют серьёзную IT-угрозу в первую очередь для разработчиков, поскольку несут риск утечки чувствительных данных, компрометации ключей доступа и внедрения вредоносного кода уже на этапе сборки приложений. От подобных IT-инцидентов могут пострадать и коммерческие предприятия, и государственные учреждения: использование заражённого пакета в процессе разработки IT-продукта ведёт к компрометации всей организации. Кроме того, под угрозой оказываются программные цепочки поставок, где такие атаки способны спровоцировать утечки данных, существенные финансовые убытки и другие негативные последствия, подчеркнул специалист.
Согласно информации Bi.Zone Threat Detection and Response (TDR), злоумышленники применяют заражённые пакеты как для сложных целевых атак на конкретные компании, так и для массового распространения вредоносного ПО. В последнем случае жертвами могут стать любые организации или даже частные лица, использующие то или иное программное обеспечение, уточнил Олег Скулкин.
Согласно мнению Алексея Барсукова, корпоративные предприятия чаще всего становятся мишенями для кибератак, использующих вредоносные программные пакеты. Подобные инциденты в сфере информационных технологий способны вызвать утечку конфиденциальной коммерческой информации и данных клиентов, нарушить работу производственных систем, привести к финансовому ущербу из-за остановки деятельности, нанести урон репутации и подорвать доверие потребителей. Эксперт по информационной безопасности отдельно отметил угрозу для поставщиков облачных услуг: в случае успешного взлома злоумышленники получают доступ к их вычислительным мощностям, что позволяет создавать ботнеты, осуществлять DDoS-атаки или скрытно заниматься добычей криптовалюты, подытожил специалист.
