В последние годы наблюдается значительный рост числа атак на цепочку поставок программного обеспечения, особенно в криптовалютной сфере. Согласно отчету о безопасности цепочки поставок RL за 2025 год, в 2024 году произошло почти два десятка устойчивых атак, направленных на приложение криптовалют, кошельки и торговые платформы. В 2025 году эта тенденция продолжается, и мир разработки крипто-приложений сталкивается с новыми угрозами. Недавно команда исследователей RL обнаружила два вредоносных пакета Python, размещенных в Python Package Index (PyPI). Эти пакеты были предназначены для того, чтобы эксфильтровать чувствительные данные, хранящиеся в базах данных, с помощью подмены команд в популярной библиотеке bitcoinlib, которая широко используется для управления кошельками криптовалюты, взаимодействия с блокчейном и выполнения сценариев Bitcoin.
Bitcoinlib является открытым программным обеспечением, которое официально имеет более одного миллиона загрузок и регулярно обновляется. Однако недобросовестные разработчики попытались навести порядок в обсуждениях, связанных с возникшими ошибками в bitcoinlib во время перевода Bitcoin, выпустив фальшивые пакеты под названиями bitcoinlibdbfix и bitcoinlib-dev. Первый пакет был создан, чтобы заменить истинную команду clw, заменив её на вредоносный код, который пытался эксфильтровать важные файлы базы данных. Разработчики этих "мошеннических библиотек" активно участвовали в обсуждениях в сообществе bitcoinlib, стараясь убедить пользователей загрузить и запустить bitcoinlibdbfix. Однако, благодаря внимательности участников, вредоносный контент был вскоре обнаружен, и ссылки на пакет были удалены.
Вскоре после удаления bitcoinlibdbfix был размещен второй пакет, bitcoinlib-dev, который также был опасным и нацеливаем на пользователей bitcoinlib. Но эта угроза была быстро нейтрализована, и пакет был убран из репозитория. Данный инцидент свидетельствует о том, что атаки на цепочку поставок программного обеспечения остаются актуальной проблемой, требующей внимания со стороны разработчиков и защищенных решений. В отличие от традиционных методов обнаружения угроз, командой RL использовались алгоритмы машинного обучения для идентификации этих новых пакетов. Алгоритмы смогли анализировать поведение программного обеспечения и выявлять паттерны, аналогичные ранее зарегистрированным кампаниям.
Ключевым моментом в данном случае стало использование платформы Spectra от RL, в которой были внедрены механизмы машинного обучения для автоматического обнаружения новых угроз. Эти технологии способны фиксировать подозрительное поведение еще до того, как звонок о помощи был создан, тем самым обеспечивая дополнительный уровень защиты для пользователей и разработчиков. Как отметил Карло Жанки, обратный инженер RL, использование пакетов с открытым исходным кодом в среде разработки может нести серьезные риски безопасности, и именно автоматизированные методы обнаружения являются единственным способом защиты в реальном времени от новых угроз. Фактически, количество новых пакетов, загружаемых ежедневно, продолжает увеличиваться, что создает дополнительные проблемы для организаций, ответственных за безопасность конечных пользователей. Важно понимать, что безопасность в экосистеме программного обеспечения - постоянная задача, требующая постоянного обновления знаний и технологий.
