Атака GlassWorm использует украденные токены GitHub для принудительной отправки вредоносного ПО в репозитории Python

Внимание, разработчики — ваши репозитории Python могут быть скомпрометированы. Новая кампания атак под названием GlassWorm с 8 марта 2026 года принудительно отправляет вредоносное ПО в репозитории GitHub с использованием украденных токенов. Это не просто очередной взлом — это полномасштабная атака на цепочку поставок, нацеленная на сообщество разработчиков.

Злоумышленники используют украденные токены GitHub для получения несанкционированного доступа к репозиториям, а затем принудительно отправляют вредоносный код непосредственно в проекты Python. Это означает, что любой разработчик, загружающий код из этих скомпрометированных репозиториев, может устанавливать вредоносное ПО, даже не подозревая об этом.

Кампания активна с 8 марта 2026 года, и исследователи безопасности предупреждают, что это представляет серьёзную угрозу для цепочки поставок. Когда злоумышленники могут внедрять код непосредственно в доверенные репозитории, это подрывает всю экосистему открытого исходного кода.

Вредоносное ПО, которое отправляется, по-видимому, сосредоточено на краже криптовалюты и извлечении данных, хотя исследователи всё ещё анализируют полный масштаб атаки. Речь идёт не только о краже нескольких монет — это о компрометации конвейеров разработки в их источнике.

Если вы разработчик Python, использующий GitHub, сейчас самое время проверить свои репозитории на наличие несанкционированных коммитов и пересмотреть безопасность своих токенов. Эта атака показывает, что даже ваши самые доверенные инструменты могут стать векторами атак, когда учётные данные оказываются скомпрометированы.