Доверие стало точкой входа

Атаки на open source уже давно не выглядят как редкая экзотика. Но история с группой TeamPCP выделяется масштабом: по данным WIRED и Ars Technica, за последние месяцы она провела более 20 волн атак на экосистему разработки, заражая пакеты, расширения и инструменты, которыми пользуются программисты.

Здесь неприятна сама механика. Разработчик ставит привычное расширение или обновляет зависимость, а вместе с этим в систему попадает вредоносный код. Дальше он может красть токены, ключи, доступы к репозиториям и использовать их для следующей волны заражений.

Коротко: атакуют уже не только готовые приложения, а саму среду, в которой эти приложения создаются.

Что случилось с GitHub

Один из самых громких эпизодов связан с GitHub. Компания подтвердила, что злоумышленники получили доступ к внутренним репозиториям после того, как сотрудник установил заражённое расширение для VS Code. Текущая оценка GitHub — около 3800 внутренних репозиториев, при этом речь шла о коде самой платформы, а не о пользовательских репозиториях.

TeamPCP заявляла о примерно 4000 репозиториях и пыталась продать украденные данные. По сообщениям Tom’s Hardware и TechRadar, на хакерских площадках фигурировала цена около $50 000, но такие заявления самих злоумышленников лучше воспринимать осторожно: они часто используются как способ давления и саморекламы.

«По текущей оценке GitHub, злоумышленники вывели данные только из внутренних репозиториев компании».

Эта формулировка важна: GitHub не говорил о массовой компрометации пользовательского кода. Но сам факт, что атака прошла через расширение редактора, хорошо показывает, насколько чувствительной стала рабочая среда разработчика.

Как работает цепочка

TeamPCP связывают с вредоносной кампанией Mini Shai-Hulud. Её логика похожа на конвейер: украсть учётные данные, получить доступ к пакетам или репозиториям, опубликовать заражённую версию и перейти к новым жертвам.

В одной из свежих волн, по данным TechRadar, было опубликовано 639 вредоносных версий в 323 npm-пакетах всего за час. Затронуты были инструменты из экосистем, которыми пользуются разработчики, включая TanStack, Mistral и AntV; OpenAI также подтверждала воздействие на свою среду.

Такой формат опасен тем, что выглядит как обычная разработческая рутина. Никто не скачивает «подозрительный архив» с неизвестного сайта. Команда просто обновляет пакет, ставит плагин или запускает сборку.

Почему это шире одного инцидента

Проблема не сводится к GitHub или одной группе. По данным Sonatype, в 2025 году было выявлено более 454 600 новых вредоносных open source-пакетов в npm, PyPI, Maven Central, NuGet, Hugging Face и других экосистемах.

Это уже не история про отдельные «плохие библиотеки». Open source стал огромной цепочкой доверия: пакет зависит от пакета, сборка зависит от токенов, CI/CD зависит от секретов, а IDE-расширение иногда имеет доступ почти ко всему рабочему окружению.

Что делать командам

Главный вывод здесь не в том, что open source стал опасным и от него нужно отказаться. Без него современная разработка почти невозможна. Но привычка ставить обновления и расширения «на автомате» становится всё более рискованной.

Командам стоит проверять новые версии зависимостей, ограничивать права токенов, включать MFA, ротировать секреты после подозрительных событий и не давать расширениям больше доступа, чем им действительно нужно. В крупных проектах всё чаще будет нужен небольшой «период охлаждения» перед обновлением зависимостей, если речь не о срочном патче безопасности.

Это не очень удобно. Зато после таких атак становится понятно: скорость разработки больше нельзя отделять от безопасности цепочки поставки кода.

Итог

Разработчики сами стали целью: через IDE, токены, CI/CD и привычные обновления можно добраться до компаний быстрее, чем через классический взлом периметра. Open source не стал хуже и не превратился в угрозу сам по себе. Просто его масштаб сделал доверие дорогим ресурсом — и теперь его приходится защищать так же серьёзно, как серверы и базы данных.

Источник: Ars Technica WIRED Help Net Security TechRadar