Стоило ли копии ломать
Чем грозят вредоносные программы из крупнейшего хранилища открытого ПО
Профильное сообщество, занимающееся развитием решений на открытом программном обеспечении, обнаружило более 35 тыс. клонов библиотек в общедоступном хранилище GitHub, замаскированных под оригинал и содержащих вредоносные элементы. Угроза является существенной для России, где разработчики не всегда тщательно проверяют свободные решения, указывают эксперты.
Пользователи крупнейшего репозитория (общедоступного хранилища) GitHub обнаружили в нем более 35 тыс. клонов популярных пакетов открытого кода, зараженных вредоносными программами. Об этом первым сообщил разработчик софта Стивен Лейси в своем аккаунте в Twitter, назвав инцидент «широко распространенной атакой вредоносного ПО».
В частности, в клонах ряда популярных решений, например на языке Python, появились дефекты, позволяющие получить несанкционированный доступ к данным (бэкдоры алгоритмов).
Представители международного сообщества на профильных форумах считают, что этот инцидент опасен, потому что пользователи без верификации продуктов могут не отличить копию кода от его качественного оригинала и, использовав код, заразить свои системы. Появление подобного кода мешает пользователям получать обновления, а также существенно снижает развитие собственных продуктов на основе ПО Open Source, поясняет руководитель направления инфраструктурных решений IT-компании «Крок» Александр Сысоев.
Степень опасности инцидента для разработчиков в России специалисты оценивают по-разному. Руководитель отдела продвижения продуктов компании «Код безопасности» Павел Коростелев считает, что угроза актуальна для тех компаний, которые используют открытый код для создания внутренних решений: «Как правило, компании склонны проверять подобный код менее тщательно, потому что им важна скорость выхода продукта». Пострадать могут все, кто занимается разработкой и использует соответствующие библиотеки, настаивает руководитель подразделения безопасности ПО «Лаборатории Касперского» Дмитрий Шмойлов: «Опасность возникает в момент, когда начинаешь использовать библиотеку с ошибочным именем». С весны этого года в сети часто появляется информация о зловредном коде в продуктах на свободном программном обеспечении, напоминает Александр Сысоев.
С конца февраля профильные компании в России отмечали резкий рост вредоносных элементов (закладок) открытого программного обеспечения, размещенного в хранилищах: к июню их число увеличилось почти в 20 раз по сравнению с прошлым годом. Закладки могли содержать провокационный контент или призывы к политически мотивированным действиям (см. “Ъ” от 6 июня).
В связи с участившимися инцидентами необходимо развивать собственные российские репозитории, где все программные пакеты перед их включением проходят тщательную проверку и у каждого есть ответственный, особенно если речь идет о платформенном и системном ПО, настаивает гендиректор компании ИВК Григорий Сизоненко. В России появление национального репозитория было запланировано на декабрь 2022 года, это следует из проекта постановления правительства от 10 февраля. По данным портала regulation.gov.ru, документ все еще проходит общественное обсуждение. Контролирует создание репозитория Минцифры. В нем планируется разместить открытые программные продукты, разработанные ведомствами и субъектами РФ, а также коммерческими компаниями (см. “Ъ” от 10 февраля). В Минцифры сообщили, что на данный момент Минцифры и АНО «Открытый код» формируют требования к национальному репозиторию.