В GitHub нашли множество вредоносных программ

GitHub — это онлайн-сервис для совместной разработки. Одновременно он является крупнейшим хранилищем открытого кода в мире

В библиотеках крупнейшего хранилища открытого программного обеспечения GitHub обнаружено 35 тысяч популярных пакетов открытого кода, зараженных вредоносными программами.

Сейчас программисты не пишут весь код с нуля, а берут готовые решения из подобных открытых библиотек. То есть если разработчик случайно возьмет для своей программы или приложения зараженный кусок кода, то и они окажутся зараженными. И в таком виде могут попасть на компьютеры и телефоны пользователей.

О том, кто и зачем выкладывает зараженный код в GitHub, рассказывает генеральный директор компании в сфере информационной безопасности Phishman Алексей Горелкин:

Алексей Горелкин генеральный директор компании в сфере информационной безопасности Phishman «Когда кто-то выкладывает свой код в открытый доступ и это довольно популярный код, но при этом этот код берут другие, добавляют туда определенные кусочки и выкладывают с похожим названием, — это то же самое, что в Play Market выложить VPN-сервис, который на самом деле будет не VPN-сервис, а какой-нибудь майнер. Или это может быть история с фишинговым сайтом: вы переходите на сайт, вам кажется, что это сайт банка, а на самом деле это похожий сайт, который крадет данные карт. Та же самая история с GitHub: digit code уже давно никто не пишет мегауникально. Очень часто используют библиотеки чьи-то, используют куски кода, какие-то решения, в том числе берут с GitHub. Сказать, что подобные истории, когда кто-то берет популярные решения, делает их копии и выкладывает, вредны конкретно для России, я не могу. Это вредно вообще для всей разработки. GitHub — это международное хранилище и инструмент. Конечно же, это можно обнаружить, но только если внимательные люди есть — начинающие программисты-школьники, если уж на это пошло. Подобные манипуляции встречались и ранее, но про такую массовую манипуляцию я слышу впервые. Конечно, это неприятно, я надеюсь, что Microsoft, которая является владельцем GitHub, предпримет определенные шаги, чтобы удалить подобные публикации. И если подобные публикации будут в дальнейшем, надеюсь, Microsoft проработает механизм их удаления».

Эксперты говорят: вероятность того, что крупные разработчики могут попасться на такую уловку мошенников, стремится к нулю. А вот небольшие студии и тем более начинающие разработчики вполне могут ошибиться. А значит, пользователям, чтобы обезопасить себя, лучше всего скачивать программное обеспечение от проверенных издателей.