17611538698
webmaster@21cto.com

Sonatype 开源恶意软件指数:当前有18,000 个恶意开源软件包



专注于软件供应链安全的公司 Sonatype 公布了其季度开源恶意软件指数报告的结果,该报告提供了有关恶意开源软件包的数据。 

该索引发现了 17,954 个恶意开源软件包,其中包括几个被劫持的 npm 加密包、一个伪装成 Truffle for VS Code 扩展的恶意 npm 包,以及假冒的 Solana 包。 

当前,56% 的软件包与数据泄露有关,攻击者会利用这些软件包从安装它们的系统中获取敏感数据。 

相比之下,2024 年第四季度的报告中发现,只有 26% 的软件包与数据泄露有关,这表明敏感信息通过开源组件泄露的风险增加。 

Sonatype 发现的 80% 软件包被归类为“复杂且具有威胁性的恶意软件”,例如投放器或代码注入恶意软件。 

“从被劫持的加密包到带有间谍软件的虚假开发工具,2025 年第一季度清晰地表现,开源恶意软件威胁在规模和复杂程度上都在增长。威胁行为者继续以开源生态系统为目标,发起旨在窃取凭证、窃取敏感数据并在开发者环境中建立持久访问权限的活动,”这家公司在一篇博客文章中写道。


编辑:万能的大雄 

评论