開発者、ソフトウェアチーム、CI/CDパイプラインを標的とした攻撃の規模と巧妙さは2025年第2四半期も拡大を続けており、Sonatypeは悪意のあるオープンソースパッケージが年間で188%増加したと報告しています。
このセキュリティベンダーは、npm、PyPI、Maven Centralなどのエコシステム全体の活動を監視し、オープンソースの脅威レベルをより深く理解しようとしています。
最新のオープンソースマルウェアインデックスによると、主要なエコシステム全体で合計16,279件の悪意のあるオープンソースパッケージが確認されました。これにより、2017年にこの分析を開始して以来、同社が発見した総数は845,204件となりました。
「攻撃者はもはやオープンソースで単なる実験をしているわけではありません。数字が示しているのは、脅威アクターがデータを最も利益の出る標的と認識し、開発者を最も簡単な侵入口と見なしているということです」と、SonatypeのCTO兼共同創設者であるブライアン・フォックス氏は述べています。
「開発者やセキュリティチームは、日常的に使うツールや依存関係の中に脅威が巧妙に隠れているため、警戒を怠ってはなりません。」
オープンソースの脅威についてさらに読む:重要なオープンソースプロジェクトの大半がメモリ安全でないコードを含む
2025年第2四半期に発見された悪意のあるパッケージの大半(55%)はデータの持ち出しを目的としており、攻撃者はシークレット、個人を特定できる情報(PII)、パスワード、アクセストークン、APIキーを標的にしています。
Sonatypeはまた、データ破壊型マルウェアの発見数が2倍になったと報告しており、この四半期で400件の事例が確認されました。この脅威は通常、ファイルの破損、悪意のあるコードの注入、アプリケーションやインフラの破壊などを目的としています。
暗号通貨マイニングを目的としたマルウェアは、第2四半期の全パッケージの5%を占めており、前四半期からわずかに減少しています。
Sonatypeによると、北朝鮮の悪名高いラザルス・グループという1つの脅威アクターが、30,000回以上ダウンロードされた107件の悪意のあるパッケージに関連付けられていました。これは、脅威グループがオープンソースエコシステムをサイバースパイ活動や金融犯罪の有効な手段としてますます重視していることを示していると、同社は述べています。
Sonatypeは昨年、オープンソースマルウェアが156%増加したと報告していますが、同期間中に主要プラットフォームからダウンロードされたパッケージが6兆件を超えることを考えると、発見されている数はごくわずかです。
翻訳元: https://www.infosecurity-magazine.com/news/malicious-open-source-surge-188/