В GitHub нашли более 35 тыс. клонов популярных библиотек с вредоносными элементами

Пользователи крупнейшего репозитория программного обеспечения с открытым исходным кодом GitHub обнаружили свыше 35 тыс. клонов популярных библиотек, заражённых вредоносным ПО. Об этом пишет «Коммерсант» со ссылкой на разработчика софта Стивена Лейси, который первым сообщил о проблеме и назвал её «широко распространённой атакой вредоносного ПО».


В GitHub нашли более 35 тыс. клонов популярных библиотек с вредоносными элементами

Представители международного сообщества считают инцидент опасным, поскольку пользователи без верификации продуктов могут не отличить копию кода от его оригинала и, использовав вредоносные библиотеки, заразить свои системы. Также отмечается, что появление подобного кода мешает пользователям получать обновления и существенно снижает развитие собственных продуктов на базе открытого кода. Согласно имеющимся данным, в некоторых клонах библиотек, например, на языке Python, появились дефекты, используя которые злоумышленники могут получить несанкционированный доступ к данным.

Степень опасности инцидента для российских разработчиков специалисты оценивают по-разному. По мнению Павла Коростелева, руководителя отдела продвижения продуктов компании «Код безопасности», угроза актуальна для разработчиков, использующих открытый код для создания внутренних решений. Он отметил, что компании зачастую проверяют такой код менее тщательно, поскольку важным аспектом является скорость выхода конечного продукта. Руководитель подразделения безопасности ПО «Лаборатории Касперского» Дмитрий Шмойлов считает, что пострадать могут все разработчики, использующие соответствующие библиотеки.

Напомним, с февраля этого года профильные российские компании отмечают резкий рост количества вредоносных элементов (закладок) в открытом программном обеспечении, размещаемом в хранилищах. Согласно имеющимся данным, к июню их число увеличилось в 20 раз по сравнению с показателем прошлого года. В некоторых случаях закладки могли содержать провокационный контент или призывы к политически мотивированным действиям.

В России появление национального репозитория было запланировано на декабрь 2022 года, что следует из проекта постановления правительства от 10 февраля. Согласно имеющимся данным, в настоящее время документ находится на стадии общественного обсуждения. Контроль над созданием отечественного репозитория осуществляет Минцифры. В нём планируется размещать программные продукты с открытым кодом, разработанные ведомствами и субъектами РФ, а также коммерческими компаниями.

Источник