Современную разработку невозможно представить без использования компонентов с открытым исходным кодом. Однако такое ПО может содержать скрытые угрозы. По данным телеметрии «Лаборатории Касперского», к концу 2025 года в проектах с открытым исходным кодом по всему миру было обнаружено почти 19,5 тысяч вредоносных пакетов. Это на 37% больше, чем в 2024 году. Продукты, использующие вредоносные пакеты, могут стать уязвимыми для манипуляций со стороны злоумышленников, включая атаки на цепочку поставок. Согласно глобальному опросу компании, именно они стали самой распространённой киберугрозой для компаний в 2025 году.
Громкие случаи атак на цепочки поставок
В апреле 2026 года был взломан официальный сайт разработчика CPU-Z и HWMonitor — бесплатных инструментов, которые используют для мониторинга производительности оборудования специалисты по всему миру, в том числе ИТ-администраторы и системные сборщики. В рамках атаки злоумышленники заменили легитимные установщики программного обеспечения на вредоносные. Анализ Kaspersky GReAT показал, что период компрометации составил примерно 19 часов. С помощью телеметрии «Лаборатории Касперского» было обнаружено более 150 жертв в разных странах, большинство из них были частными пользователями — что объясняется характером использования самого ПО. Также пострадали организации из сферы торговли, производства, консалтинга, телекома, сельского хозяйства.
В марте 2026 года также был скомпрометирован Axios — один из наиболее широко используемых HTTP-клиентов на JavaScript. Злоумышленники взломали аккаунт основного сопровождающего проекта и опубликовали с него заражённые версии пакета (1.14.1 и 0.30.4). Используя их, они не встраивали вредоносный код непосредственно в Axios — а внедряли фантомную зависимость, которая развёртывала кроссплатформенный троянец удалённого доступа (RAT), связывалась с сервером атакующих, а затем уничтожала следы своей активности на устройствах под управлением macOS, Windows и Linux. Обе вредоносные версии были удалены в течение нескольких часов, а зависимость была быстро заблокирована. Как показал анализ Kaspersky GReAT, данная атака не была единичным случаем — подобные тактики, методы и процедуры использовала группа Bluenoroff в рамках кампаний GhostHire и GhostHire.
В феврале 2026 года разработчики Notepad++ — популярного среди разработчиков текстового редактора с открытым исходным кодом — сообщили о компрометации своей инфраструктуры в результате инцидента на уровне хостинг-провайдера. Исследователи Kaspersky GReAT обнаружили, что злоумышленники, стоящие за атакой на Notepad++, использовали как минимум три разные цепочки заражения, а среди их целей оказались поставщики ИТ-услуг, госучреждения и финансовые организации в Австралии, Латинской Америке и Юго-Восточной Азии.
«Согласно нашему исследованию, в 2025 году 31% предприятий по всему миру столкнулись с атаками на цепочки поставок. Однако это не значит, что проекты с открытым исходным кодом всегда менее безопасны, чем проприетарные продукты. Активное сообщество специалистов, работающих с открытым ПО, может помочь быстро обнаружить и устранить уязвимости — в то время как проприетарные системы обычно полагаются только на проверки со стороны внутренних команд. Разработчики стараются отслеживать возникающие риски, в то время как специалисты по кибербезопасности проводят исследования, чтобы выявлять уязвимости и вредоносный код в программном обеспечении, а также оперативно уведомляют о них пользователей и ИТ-сообщество. И хотя полностью исключить потенциальные угрозы невозможно, их влияние можно минимизировать с помощью решений в области кибербезопасности и инструментов для автоматизированного анализа кода», — комментирует Дмитрий Галов, руководитель Kaspersky GReAT.
Чтобы минимизировать риски, «Лаборатория Касперского» рекомендует:
- использовать решения для мониторинга используемых компонентов с открытым исходным кодом на наличие скрытых угроз, такие как Kaspersky Open Source Software Threats Data Feed;
- использовать комплексные решения для обеспечения безопасности организаций, в том числе класса XDR. Например, решения из линейки Kaspersky Symphony позволяют осуществлять мониторинг инфраструктуры в режиме реального времени и выявлять аномалии в программном и сетевом трафике, при этом они подходят для организаций разного масштаба, независимо от отрасли;
- следить за актуальными киберугрозами: изучать исследования и рекомендации по кибербезопасности, связанные с экосистемой продуктов с открытым исходным кодом, а также предоставить специалистам доступ к информации о новейших тактиках, техниках и процедурах злоумышленников;
- разработать план по реагированию на инциденты, в том числе атаки на цепочки поставок. Он должен включать в себя конкретные шаги в случае того или иного ИБ-события, которые позволят быстро локализовать и нейтрализовать угрозу — например, оперативно отключить скомпрометированного поставщика от систем компании;
- сотрудничать с поставщиками по вопросам кибербезопасности — это позволит усилить защиту с обеих сторон.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз Kaspersky GReAT основан в 2008 году. В его задачи входит поиск и исследование наиболее сложных атак, кампаний кибершпионажа, новых методов заражения, эксплойтов, использующих уязвимости нулевого дня. Сегодня в команде центра более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Они известны своими достижениями в расследовании наиболее сложных атак, включая кампании кибершпионажа и киберсаботажа.
