Киберпреступники кардинально изменили тактику атак, переключившись с массового фишинга на целенаправленные кампании против разработчиков программного обеспечения. Эксперты фиксируют беспрецедентный рост атак через популярные платформы разработки GitHub и GitLab, где злоумышленники размещают поддельные проекты с открытым исходным кодом для распространения вредоносных программ.
Резкий рост атак на разработчиков: статистика первого полугодия 2025
Согласно отчету Positive Technologies за первое полугодие 2025 года, доля распространения вредоносного ПО через веб-сайты увеличилась до 13% — это почти в два раза превышает показатели аналогичного периода 2024 года. Исследователи отмечают рекордное за три года количество подобных атак.
Основным вектором атак по-прежнему остается вредоносное программное обеспечение, которое используется в 63% всех успешных кибератак на организации. Однако методы доставки малвара существенно эволюционировали, став более изощренными и целенаправленными.
Механизм атак через репозитории кода
Преступники создают фальшивые проекты на GitHub и GitLab, которые внешне выглядят как легитимные решения с открытым исходным кодом. При загрузке и запуске таких проектов активируются вредоносные полезные нагрузки, которые:
• Извлекают дополнительные компоненты из контролируемых хакерами репозиториев
• Устанавливают трояны удаленного доступа (RAT)
• Развертывают шпионское программное обеспечение
• Похищают критически важную информацию
Тайпсквоттинг как основной метод обмана
Злоумышленники активно используют технику тайпсквоттинга — создание пакетов с названиями, максимально похожими на популярные библиотеки, но содержащими опечатки. Этот метод рассчитан на невнимательность разработчиков при вводе названий пакетов в командной строке или системах управления зависимостями.
Характерным примером стала вредоносная кампания в репозитории PyPI, нацеленная на специалистов по машинному обучению. Поддельные пакеты «deepseeek» и «deepseekai» имитировали популярную систему искусственного интеллекта DeepSeek, но содержали код для сбора системной информации и кражи переменных окружения.
Глобальные кибератаки: от геймеров до корпораций
География атак охватывает все континенты. В России, Бразилии и Турции жертвами масштабной кампании стали геймеры и криптовалютные инвесторы. На их устройства устанавливались информационные стилеры, специализирующиеся на краже:
• Адресов криптокошельков и приватных ключей
• Личных данных и документов
• Банковской информации и платежных данных
Параллельно в США, Европе и странах Азии северокорейская хакерская группировка Lazarus провела целенаправленную операцию против разработчиков. Жертвами стали как минимум 233 специалиста, на компьютеры которых был внедрен JavaScript-имплант для сбора системной информации.
Двойной удар по цепочкам поставок
Эксперты подчеркивают особую опасность новой тактики киберпреступников. Атаки на разработчиков наносят «двойной удар»: страдает не только непосредственная жертва, но и все проекты, связанные с скомпрометированным разработчиком. Это создает эффект домино, распространяя вредоносный код через цепочки поставок программного обеспечения.
Тенденция к усилению атак на IT-компании и разработчиков будет только нарастать. Компрометация цепочек поставок становится приоритетным направлением для APT-группировок, поскольку позволяет достичь максимального охвата при минимальных затратах ресурсов. Разработчикам необходимо усилить меры безопасности, включая тщательную проверку всех загружаемых пакетов и использование инструментов автоматической верификации кода.
