Это на 37% больше по сравнению с данными на конец 2024 года
По данным телеметрии «Лаборатории Касперского», к концу 2025 года в проектах с открытым исходным кодом по всему миру было обнаружено 19,5 тысяч вредоносных пакетов. Это на 37% больше по сравнению с данными на конец 2024 года. В начале 2026 года их число превысило 20 тысяч.
Современную разработку невозможно представить без использования компонентов с открытым исходным кодом. Однако такое ПО может содержать скрытые угрозы и приводить к атакам на цепочки поставок, которые, согласно глобальному опросу компании, стали самой распространённой киберугрозой для организаций по всему миру в 2025 году, — и эта тенденция сохраняется.
Например, в мае 2026 года группа TeamPCP провела атаку Mini Shai-Hulud, нацеленную на экосистемы npm и PyPI. Были скомпрометированы более 170 пакетов и сотни вредоносных релизов, включая TanStack, Mistral AI, UiPath и OpenSearch Project. Основным вектором атаки являлась цепочка уязвимостей в сборочном конвейере в GitHub Actions. Защитные решения «Лаборатории Касперского», такие как Kaspersky Symphony, успешно обнаруживают данную вредоносную активность.
«Злоумышленники постоянно обновляют методы и инструменты, и мы в свою очередь совершенствуем наши решения. Благодаря интеграции Kaspersky Container Security с GitHub Actions и разработанным для неё правилам обнаружения мисконфигураций мы сможем выявлять и предупреждать пользователей об уязвимостях в сборочных конвейерах, в том числе тех, которые использовались в атаке Mini Shai-Hulud», — комментирует Александр Лискин, руководитель управления исследования угроз в «Лаборатории Касперского».
Другие громкие случаи атак на цепочки поставок в 2026 году
Axios. В марте 2026 года был скомпрометирован Axios — один из наиболее широко используемых HTTP-клиентов на JavaScript. Злоумышленники взломали аккаунт основного сопровождающего проекта и опубликовали с него заражённые версии пакета (1.14.1 и 0.30.4). Используя их, они не встраивали вредоносный код непосредственно в Axios — а внедряли фантомную зависимость, которая развёртывала кросс-платформенный троянец удалённого доступа (RAT), связывалась с сервером атакующих, а затем уничтожала следы своей активности на устройствах под управлением macOS, Windows и Linux. Обе вредоносные версии были удалены в течение нескольких часов, а зависимость была быстро заблокирована. Как показал анализ Kaspersky GReAT, данная атака не была единичным случаем — подобные тактики, методы и процедуры использовала группа Bluenoroff в рамках кампаний GhostHire и GhostHire.
Notepad++. В феврале 2026 года авторы Notepad++ — популярного среди разработчиков текстового редактора с открытым исходным кодом — сообщили о компрометации своей инфраструктуры в результате инцидента на уровне хостинг-провайдера. Исследователи Kaspersky GReAT обнаружили, что злоумышленники, стоящие за атакой на Notepad++, использовали как минимум три разные цепочки заражения, а среди их целей оказались поставщики ИТ-услуг, госучреждения и финансовые организации в Австралии, Латинской Америке и Юго-Восточной Азии.
CPU-Z и HWMonitor. В апреле 2026 года был взломан официальный сайт разработчика CPU-Z и HWMonitor — бесплатных инструментов, которые используют для мониторинга производительности оборудования специалисты по всему миру, в том числе ИТ-администраторы и системные сборщики. В рамках атаки злоумышленники заменили легитимные установщики программного обеспечения на вредоносные. Анализ Kaspersky GReAT показал, что период компрометации составил примерно 19 часов. С помощью телеметрии «Лаборатории Касперского» было обнаружено более 150 жертв в разных странах, большинство из них были частными пользователями — что объясняется характером использования самого ПО. Также пострадали организации из сферы торговли, производства, консалтинга, телекома, сельского хозяйства.
DAEMON Tools. В начале мая 2026 года эксперты Kaspersky GReAT обнаружили, что установщики программного обеспечения DAEMON Tools для монтирования образов дисков содержат вредоносный код. Анализ показал, что заражены версии DAEMON Tools с 12.5.0.2421 до 12.5.0.2434, которые распространялись с 8 апреля. Всего было атаковано свыше 2 тысяч пользователей — частных и корпоративных — более чем в ста странах. Из числа всех жертв злоумышленники выбрали лишь около десятка интересующих их организаций и продолжили атаковать их более точечно. Основными целями стали организации из госсектора, производства, науки, розничной торговли, расположенные в России, Беларуси и Таиланде.
Чтобы минимизировать риски, «Лаборатория Касперского» рекомендует:
● использовать решения для защиты контейнерных сред, обеспечивающие контроль запуска и изоляцию приложений, а также мониторинг их поведения на уровне исполнения, такие как Kaspersky Container Security;
● применять решения для мониторинга используемых компонентов с открытым исходным кодом на наличие скрытых угроз, такие как Kaspersky Open Source Software Threats Data Feed;
● использовать комплексные решения для обеспечения безопасности организаций, в том числе класса XDR. Например, решения из линейки Kaspersky Symphony позволяют осуществлять мониторинг инфраструктуры в режиме реального времени и выявлять аномалии в программном и сетевом трафике, при этом они подходят для организаций разного масштаба, независимо от отрасли;
● следить за актуальными киберугрозами: изучать исследования и рекомендации по кибербезопасности, связанные с экосистемой продуктов с открытым исходным кодом, а также предоставить специалистам доступ к информации о новейших тактиках, техниках и процедурах злоумышленников, например с помощью сервисов Threat Intelligence;
● разработать план по реагированию на инциденты, в том числе атаки на цепочки поставок. Он должен включать в себя конкретные шаги в случае того или иного ИБ-события, которые позволят быстро локализовать и нейтрализовать угрозу — например, оперативно отключить скомпрометированного поставщика от систем компании;
● сотрудничать с поставщиками по вопросам кибербезопасности — это позволит усилить защиту с обеих сторон.
О Kaspersky GReAT
Глобальный центр исследования и анализа угроз «Лаборатории Касперского» (Kaspersky GReAT) основан в 2008 году. Его задача — выявлять APT-атаки, кампании кибершпионажа, вредоносное ПО, программы-вымогатели и тренды в киберпреступности по всему миру. Сегодня в команде Kaspersky GReAT более 35 экспертов, работающих по всему миру — в Европе, России, Южной Америке, Азии, на Ближнем Востоке. Талантливые профессионалы в сфере кибербезопасности играют ведущую роль в исследовании вредоносного ПО и создании инновационных методов борьбы с ним. Их богатый опыт, мотивация и любознательность способствуют эффективному обнаружению и анализу киберугроз.
