Виноват не только ИИ: число вредоносных open source библиотек за 2025 год выросло в 11 раз

В 2025 году было выявлено 457 тыс. вредоносных пакетов в open source. По подсчетам ИБ-компании CodeScoring, это на 1000% больше, чем объем вредоносного ПО, выявленного в 2024 году. Причем растет число не только вредоносных компонентов, но и уязвимостей в открытом коде. В 2025 году было выявлено 14 тыс. новых уязвимостей, сказано в исследовании, и это еще не считая тех уязвимостей, что были выявлены ранее, но так и не были устранены.

В пример долгосрочно нерешаемых проблем исследователи привели уязвимость Log4Shell из Java-библиотеки log4j. Эта уязвимость позволяет злоумышленнику удаленно выполнять код. При этом ее выявили еще в 2021 году — и она остается актуальной до сих пор. Поймать Log4Shell можно через 15 тыс. сторонних библиотек, пишет CodeScoring.

При этом появляются и новые угрозы: возник новый вектор атаки, который получил название slopsquatting. Это атака с использованием LLM (большой языковой модели) для написания кода. ИИ «галлюцинирует» и рекомендует пользователю несуществующие библиотеки для использования. LLM в среднем галлюцинирует в каждом пятом случае, но эти рекомендации воспроизводятся в 58% случаев. Разработчики, использующие ИИ-ассистентов для написания кода, сталкиваются с галлюцинациями машины, но не все рассматривают это как угрозу. Однако злоумышленники могут использовать эти сбои ИИ для создания заведомо вредоносных библиотек.

Продолжение ниже

Как отметил в комментарии SecPost старший преподаватель лаборатории развития и продвижения компетенций кибербезопасности «Газинформсервиса» Даниил Смирнов, ИИ действительно влияет на рост числа вредоносных библиотек. Но это не единственный фактор.

«Сюда относится и смещение атак в сторону цепочек поставок (supply chain), и увеличение количества зависимостей в целом, ну а также возможность быстро автоматизировать атаки, — отметил эксперт. — Использование технологий искусственного интеллекта дополнительно упростило генерацию, маскировку и массовое распространение вредоносных пакетов».

По словам Смирнова, разработчики никогда и не рассматривали open source как безопасную среду. Но раньше основные риски были связаны преимущественно со случайными уязвимостями. Теперь же ИБ-специалисты наблюдают смещение в сторону преднамеренного внедрения вредоносного кода.

«Наибольшему риску подвержены разработчики, DevOps-команды и организации без сформированных и формализованных процессов контроля зависимостей, — говорит Смирнов. — Существенную зону риска также представляют государственные структуры и объекты критической инфраструктуры, где компрометация библиотеки может привести к масштабным последствиям».

Эксперт рекомендует контролировать зависимости, включая формирование и анализ SBOM (Software Bill of Materials, перечень библиотек, относящихся к разрабатываемому ПО). Также следует использовать SCA-сканеры (Software Composition Analysis, инструмент для анализа ПО, который проверяет библиотеки на наличие известных уязвимостей). Организациям советуют осознанно управлять обновлениями библиотек и встраивать требования безопасности непосредственно в процесс разработки, в рамках DevSecOps.