Мошенничество в разработке: новый вредоносный софт 'Shai-Hulud' угрожает программным пакетам

Вредоносная кампания под названием 'Shai-Hulud' распространяется через программные пайплайны, используемые разработчиками, что вызывает опасения по поводу автоматизированных систем с минимальным человеческим контролем. Вредоносное ПО связано примерно с 320 пакетами на npm и PyPI, которые в совокупности имеют более 518 миллионов загрузок в месяц. Microsoft сообщила, что злоумышленники вставили вредоносный код в пакет программного обеспечения Mistral AI, распространяемый через PyPI. OpenAI подтвердила, что вредоносное ПО, связанное с этой кампанией, заразило устройства двух сотрудников. GitHub также подтвердил, что группа хакеров украла около 3,800 внутренних репозиториев кода.

Эта ситуация подчеркивает важность безопасности в разработке программного обеспечения, особенно в условиях растущей автоматизации и использования открытых пакетов. Разработчикам следует быть особенно внимательными к источникам пакетов и регулярно проверять их на наличие уязвимостей. Поэтому оценивать ситуацию лучше через последовательность подтверждений и реакцию участников рынка, а не по одному импульсу. Практический вывод: в ближайшие дни важнее всего мониторить новые данные и изменения ликвидности.