Sonatype 开源恶意软件指数:当前有18,000 个恶意开源软件包
导读:开源软件并非拿来就用,有一些代码中会存在恶意和攻击型逻辑,请各位开发者留意。
专注于软件供应链安全的公司 Sonatype 公布了其季度开源恶意软件指数报告的结果,该报告提供了有关恶意开源软件包的数据。
该索引发现了 17,954 个恶意开源软件包,其中包括几个被劫持的 npm 加密包、一个伪装成 Truffle for VS Code 扩展的恶意 npm 包,以及假冒的 Solana 包。
当前,56% 的软件包与数据泄露有关,攻击者会利用这些软件包从安装它们的系统中获取敏感数据。
相比之下,2024 年第四季度的报告中发现,只有 26% 的软件包与数据泄露有关,这表明敏感信息通过开源组件泄露的风险增加。
Sonatype 发现的 80% 软件包被归类为“复杂且具有威胁性的恶意软件”,例如投放器或代码注入恶意软件。
“从被劫持的加密包到带有间谍软件的虚假开发工具,2025 年第一季度清晰地表现,开源恶意软件威胁在规模和复杂程度上都在增长。威胁行为者继续以开源生态系统为目标,发起旨在窃取凭证、窃取敏感数据并在开发者环境中建立持久访问权限的活动,”这家公司在一篇博客文章中写道。
编辑:万能的大雄
本文为 @ 万能的大雄 创作并授权 21CTO 发布,未经许可,请勿转载。
内容授权事宜请您联系 webmaster@21cto.com或关注 21CTO 公众号。
该文观点仅代表作者本人,21CTO 平台仅提供信息存储空间服务。
评论
