專注於軟體供應鏈安全的公司 Sonatype 公佈了其季度開源惡意軟體指數報告的結果,該報告提供了有關惡意開源軟體包的見解。
該索引發現了 17,954 個惡意開源軟體包,其中包括幾個被劫持的 npm 加密包、一個偽裝成 Truffle for VS Code 擴充套件的惡意 npm 包,以及假冒的 Solana 包。
56% 的軟體包與資料洩露有關。攻擊者會利用這些軟體包從安裝它們的系統中獲取敏感資料。
相比之下,2024 年第四季度的報告發現,只有 26% 的軟體包與資料洩露有關,這表明敏感資訊透過開源元件洩露的風險增加。
Sonatype 發現的 80% 軟體包被歸類為“複雜且具有威脅性的惡意軟體”,例如投放器或程式碼注入惡意軟體。
“從被劫持的加密包到帶有間諜軟體的虛假開發工具,2025 年第一季度清楚地表明,開源惡意軟體威脅在規模和複雜程度上都在增長。威脅行為者繼續以開源生態系統為目標,發起旨在竊取憑證、竊取敏感資料並在開發者環境中建立持久訪問許可權的活動,”該公司在一篇部落格文章中寫道。
編輯:萬能的大雄