Хакеры массово минируют библиотеки на самом популярном языке Python
freepik.com
Хакеры всё активнее используют цепочку поставки ПО как точку входа для атак: мишенью становятся не конечные пользователи, а сами разработчики и их инструменты. Как сообщают «Ведомости» со ссылкой на исследование Positive Technologies, за последний год число вредоносных пакетов в официальном репозитории PyPI увеличилось на 54% и достигло 514. Это библиотеки, которые внешне выглядят как обычные модули для Python, но содержат скрытый вредоносный код.
По данным экспертов, особенно заметен рост уже скомпрометированных пакетов — он оценивается в 150%. В ряде случаев злоумышленники создают почти полные клоны легитимных библиотек, меняя одно‑две буквы в названии (так называемый тайпсквоттинг), или получают доступ к аккаунтам разработчиков и встраивают закладки в обновления. Разработчики, не замечая подмены, подтягивают такие зависимости в проекты, а вместе с ними — сборщики паролей, бэкдоры или инструменты удалённого доступа.
Особое внимание исследователи обращают на то, что атаки сосредоточены вокруг Python — самого популярного языка программирования. Через PyPI распространяется огромное количество пакетов для веб‑разработки, машинного обучения, работы с инфраструктурой, поэтому потенциальная зона поражения охватывает как корпоративные системы, так и персональные компьютеры пользователей.
Специалисты по кибербезопасности рекомендуют разработчикам пересмотреть практики работы с зависимостями. Среди базовых мер — использование внутренних зеркал репозиториев, строгая фиксация версий, проверка репутации авторов, анализ изменений перед обновлением пакетов и внедрение инструментов SCA (Software Composition Analysis), которые автоматически выявляют подозрительные или известные вредоносные компоненты. Отмечается, что атаки на цепочки поставки будут и дальше набирать обороты, поэтому игнорировать безопасность открытых библиотек становится всё опаснее.
Обратите внимание:
- К чему приведет отмена моратория на штрафы застройщикам с 1 января 2026 года
- МРОТ, пенсии и соцвыплаты в России вырастут с нового года-2026
- Госдума готовит серьезный штраф тем, кто занимает парковки для инвалидов
- Почта заверяет: доставят в январе 2026 пенсии и социальные выплаты вовремя
- Работодателям напоминают о реальных штрафах за превышение лимита переработок
