Кіберзлочинці кардинально змінили стратегію атак у 2025 році, відходячи від масового фішингу на користь прицільних кампаній проти розробників програмного забезпечення. Експерти фіксують безпрецедентне зростання кількості атак через популярні платформи розробки GitHub та GitLab, де зловмисники розміщують підроблені проекти з відкритим вихідним кодом для поширення шкідливого ПЗ.
Статистика кіберзагроз: драматичне зростання атак на розробників
За даними звіту Positive Technologies за перше півріччя 2025 року, частка поширення шкідливого ПЗ через веб-сайти зросла до 13% – це майже вдвічі перевищує показники аналогічного періоду 2024 року. Дослідники відзначають рекордну за останні три роки кількість подібних атак.
Шкідливе програмне забезпечення залишається основним вектором атак, використовуючись у 63% всіх успішних кібератак на організації. Однак методи доставки малвару суттєво еволюціонували, ставши більш витонченими та цілеспрямованими.
Механізм атак через репозиторії коду: як працює нова схема
Кіберзлочинці створюють фальшиві проекти на GitHub і GitLab, які зовні виглядають як легітимні рішення з відкритим вихідним кодом. При завантаженні та запуску таких проектів активуються шкідливі корисні навантаження, які виконують наступні дії:
• Витягують додаткові компоненти з контрольованих хакерами репозиторіїв
• Встановлюють трояни віддаленого доступу (RAT)
• Розгортають шпигунське програмне забезпечення
• Викрадають критично важливу інформацію
Тайпсквоттинг як основний метод обману розробників
Зловмисники активно використовують техніку тайпсквоттингу – створення пакетів з назвами, максимально схожими на популярні бібліотеки, але що містять друкарські помилки. Цей метод розрахований на неуважність розробників при введенні назв пакетів у командному рядку або системах управління залежностями.
Характерним прикладом стала шкідлива кампанія в репозиторії PyPI, спрямована на фахівців з машинного навчання. Підроблені пакети “deepseeek” та “deepseekai” імітували популярну систему штучного інтелекту DeepSeek, але містили код для збору системної інформації та крадіжки змінних оточення.
Глобальні кібератаки: від геймерів до корпорацій
Географія атак охоплює всі континенти. У Росії, Бразилії та Туреччині жертвами масштабної кампанії стали геймери та криптовалютні інвестори. На їхні пристрої встановлювались інформаційні стілери, що спеціалізуються на крадіжці:
• Адрес криптогаманців та приватних ключів
• Особистих даних та документів
• Банківської інформації та платіжних даних
Паралельно в США, Європі та країнах Азії північнокорейське хакерське угруповання Lazarus провело цілеспрямовану операцію проти розробників. Жертвами стали щонайменше 233 спеціалісти, на комп’ютери яких був впроваджений JavaScript-імплант для збору системної інформації.
Подвійний удар по ланцюгах постачань програмного забезпечення
Експерти підкреслюють особливу небезпеку нової тактики кіберзлочинців. Атаки на розробників завдають “подвійного удару”: страждає не лише безпосередня жертва, але й усі проекти, пов’язані зі скомпрометованим розробником. Це створює ефект доміно, поширюючи шкідливий код через ланцюги постачань програмного забезпечення.
Тенденція до посилення атак на IT-компанії та розробників буде лише наростати. Компрометація ланцюгів постачань стає пріоритетним напрямком для APT-угруповань, оскільки дозволяє досягти максимального охоплення при мінімальних витратах ресурсів. Розробникам необхідно посилити заходи безпеки, включаючи ретельну перевірку всіх завантажуваних пакетів та використання інструментів автоматичної верифікації коду для захисту від цих еволюціонуючих загроз.
