Ашық бастапқы компоненттерді пайдаланбай заманауи дамуды елестету мүмкін емес. Алайда, мұндай бағдарламалық жасақтамада жасырын қауіптер болуы мүмкін. "Касперский зертханасы" телеметриясының мәліметтері бойынша, 2025 жылдың соңына қарай бүкіл әлем бойынша ашық бастапқы жобаларда 19,5 мыңға жуық зиянды пакет табылды. Бұл 2024 жылмен салыстырғанда 37% - ға көп. Зиянды пакеттерді пайдаланатын өнімдер зиянкестердің манипуляцияларына, соның ішінде жеткізу тізбегіне жасалған шабуылдарға осал болуы мүмкін. Компанияның жаһандық сауалнамасына сәйкес, олар 2025 жылы компаниялар үшін ең көп таралған киберқауіпке айналды.
Жеткізілім тізбегіне шабуыл жасаудың қатты жағдайлары
2026 жылдың сәуірінде CPU-Z және HWMonitor әзірлеушілерінің ресми сайты — бүкіл әлем бойынша мамандар, соның ішінде ат әкімшілері мен жүйелік құрастырушылар жабдықтың өнімділігін бақылау үшін пайдаланатын ақысыз құралдар бұзылды.
Шабуыл аясында шабуылдаушылар заңды бағдарламалық жасақтаманы зиянды бағдарламалармен алмастырды. Kaspersky GReAT талдауы компаға келу кезеңі шамамен 19 сағатты құрайтынын көрсетті. "Касперский зертханасы" телеметриясының көмегімен әртүрлі елдерде 150 — ден астам Құрбан табылды, олардың көпшілігі жеке пайдаланушылар болды-бұл бағдарламалық жасақтаманың өзін пайдалану сипатына байланысты. Сауда, өндіріс, консалтинг, Телеком, ауыл шаруашылығы салаларындағы ұйымдар да зардап шекті.
2026 жылдың наурызында Axios — jаvascript-те ең көп қолданылатын HTTP клиенттерінің бірі бұзылды.
Зиянкестер негізгі ілеспе жобаның аккаунтын бұзып, одан пакеттің вирус жұққан нұсқаларын жариялады (1.14.1 және 0.30.4). Оларды қолдана отырып, олар зиянды кодты тікелей Axios — қа енгізбеді-бірақ кросс-платформалық қашықтан қол жеткізу троянын (RAT) орналастыратын, шабуылдаушы сервермен байланысатын, содан кейін macOS, Windows және Linux жұмыс істейтін құрылғылардағы белсенділік іздерін жоятын фантомдық тәуелділікті енгізді. Екі зиянды нұсқа да бірнеше сағат ішінде жойылды және тәуелділік тез бұғатталды. Kaspersky great талдауы көрсеткендей, бұл шабуыл оқшауланған жағдай емес — GhostHire және ghosthire науқандары аясында Bluenoroff тобы ұқсас тактикалар, әдістер мен процедураларды қолданды.
2026 жылдың ақпанында Notepad++ әзірлеушілері-әзірлеушілер арасында танымал ашық бастапқы мәтіндік редактор-хостинг провайдері деңгейіндегі оқиғадан инфрақұрылымына нұқсан келгенін хабарлады. Kaspersky great зерттеушілері notepad++ шабуылының артында тұрған зиянкестер кем дегенде үш түрлі инфекция тізбегін пайдаланғанын және олардың мақсаттарының арасында Австралия, Латын Америкасы және Оңтүстік-Шығыс Азиядағы ат провайдерлері, мемлекеттік органдар мен қаржы ұйымдары бар екенін анықтады.
"Біздің зерттеуімізге сәйкес, 2025 жылы дүние жүзіндегі кәсіпорындардың 31% жеткізу тізбегіне шабуыл жасады. Дегенмен, бұл ашық бастапқы жобалар әрқашан меншікті өнімдерге қарағанда қауіпсіз емес дегенді білдірмейді. Ашық бағдарламалық жасақтамамен жұмыс істейтін мамандардың белсенді қауымдастығы осалдықтарды тез анықтауға және жоюға көмектеседі-ал меншікті жүйелер әдетте тек ішкі командалардың тексерулеріне сүйенеді. Әзірлеушілер туындайтын тәуекелдерді бақылауға тырысады, ал киберқауіпсіздік мамандары бағдарламалық жасақтамадағы осалдықтар мен зиянды кодтарды анықтау үшін зерттеулер жүргізеді, сонымен қатар олар туралы Пайдаланушылар мен ат қауымдастығына жедел хабарлайды. Ықтимал қауіптерді толығымен жою мүмкін болмаса да, олардың әсерін киберқауіпсіздік шешімдері мен кодты автоматтандырылған талдау құралдары арқылы азайтуға болады", — деп түсіндірді Касперскийдің ұлы басшысы Дмитрий Галов.