• Новости
  • Аналитика
English
English

СodeScoring: число вредоносных open source библиотек за 2025 год увеличилось в 11 раз

29 января 2026
Новости компаний
Профископ

Команда CodeScoring зарегистрировала 457 тысяч вредоносных пакетов только за 2025 год. Это на 1000% больше объема вредоносного ПО, обнаруженного в open source в 2024 году.

Угрозу цепочке поставки ПО представляют не только вредоносные компоненты, но и компоненты, содержащие уязвимости. За 2025 год зарегистрировано 14 тысяч новых уязвимостей в открытых компонентах и сохраняется проблематика находок прошлых лет. Например, по-прежнему остается актуальной уязвимость Log4Shell из Java-библиотеки log4j, обнаруженная ещё в 2021 году, которая может обеспечить злоумышленнику удаленное выполнение кода. Получить такую уязвимость в собственном продукте можно через 15 тысяч сторонних библиотек, которые до сих пор используют уязвимую версию log4j. Также остается в силе угроза занесения бэкдоров, стилеров, шифровальщиков и другого вредоносного ПО со сторонними компонентами в продукт или инфраструктуру. 

В 2025 году впервые появился самораспространяющийся «пакетный» червь Shai Hulud, нацеленный на кражу чувствительных данных (секретов) на зараженном узле. 

Кроме того, таксономия атак на цепочку поставки дополнилась новым вектором атаки, который получил название «slopsquatting». Это разновидность атаки, в которой большая языковая модель (LLM), используемая для создания кода галлюцинирует и рекомендует несуществующие библиотеки для использования. Галлюцинации в среднем происходят в каждом пятом случае, но они воспроизводятся в 58% случаев. Каждый разработчик, который применяет ИИ-ассистентов в разработке, сталкивается с галлюцинациями в названиях пакетов, но не все обращают на это внимание как на угрозу безопасности.

Таким образом злоумышленники могут использовать галлюцинации в целях создания заведомо вредоносных библиотек, которые рекомендуются программистам. По данным компании, в России ИИ-ассистентов применяют 30% программистов.

Для обеспечения защиты цепочки поставки и противодействия вредоносным библиотекам важно применять набор гигиенических практик разработки: полное фиксирование названий и версий библиотек, применяемых разработчиком для сборки ПО, и запрет исполнения скриптов при установке библиотек. 

Чтобы защитить компанию от атак, необходимо следовать современным рекомендациям ГОСТ Р 56939-2024 и реализовывать практики безопасной разработки, такие как композиционный анализ ПО, проверка компонентов попадающих в контур организации, а также изоляцию сборки и антивирусный контроль.

Новости по теме
Декабрь стал рекордным по числу атак на онлайн-ресурсы российских компаний
29 января 2026
29 января 2026
Новости компании
Декабрь стал рекордным по числу атак на онлайн-ресурсы российских компаний
Готовый low-code стек для импортозамещения: «БФТ.Платформа» подтвердила совместимость с СУБД Tantor Postgres
29 января 2026
29 января 2026
Новости компании
Готовый low-code стек для импортозамещения: «БФТ.Платформа» подтвердила совместимость с СУБД Tantor Postgres
«Авантелеком» запустил собственный модуль распознавания и синтеза речи
29 января 2026
29 января 2026
Новости компании
«Авантелеком» запустил собственный модуль распознавания и синтеза речи

Войти

Только для участников РУССОФТ

Скачать исследование

Укажите адрес своей электронной почты, куда будет направлено исследование и ответьте на несколько вопросов