Sonatype 发布了 2025 年第一季度的开源恶意软件指数，标志着恶意软件开发人员所采用的策略发生了转变。

该报告确定了 17,954 个开源恶意软件包，这一数字是去年同期的两倍多。值得注意的是，在此期间发现的恶意软件中有 56% 与数据泄露攻击有关，比 2024 年最后一个季度记录的 26% 大幅增加。对此类恶意软件的高度关注凸显了通过恶意开源组件对敏感数据构成的威胁越来越大。

加密挖掘恶意软件也显着增加，占发现的恶意包的 7%，高于去年最后一个季度的 3.5%。这表明资源劫持攻击仍然是开源生态系统中的一个相关问题。

Sonatype 在应对这些威胁方面所做的努力可以从该公司在 2025 年第一季度干预的 20,000 多起开源恶意软件攻击中得到证明。其中相当多的攻击（66%）针对金融服务公司，其次是 14% 针对政府组织，7% 针对公用事业、石油和天然气行业。

该报告还表明，它所说的“开源恶意软件’噪音’”有所减少，在此期间记录的程序包中有 80% 涉及更复杂和更具威胁性的恶意软件类型，例如植入程序和代码注入恶意软件。

Sonatype 的联合创始人兼首席技术官 Brian Fox 强调了采取积极措施对抗此类威胁的重要性。“数据表明，生态系统维护者对有害成分采取行动的方式发生了有意义的变化，但这也反映了威胁行为者的日益复杂，”Fox 先生说。“我们已经看到更复杂的开源恶意软件类型有所增加，这表明攻击者正在以需要持续警惕的方式进行创新。您必须在它进入开发环境之前阻止它 — 如果开源恶意软件存在于您的存储库中，那就太晚了。

该报告是 Sonatype 持续致力于为组织提供对开源安全威胁和趋势的关键见解的一部分。随着开源使用在全球范围内的扩展，该报告强调了组织必须实施旨在主动保护软件供应链的措施。

此外，Sonatype 每年都会发布一份软件供应链现状报告，对开源消费和相关风险进行逐年分析。去年的分析记录了开源恶意软件比 2023 年增加了 156%，这表明许多未受保护的存储库仍然容易受到此类攻击。

Sonatype 的 Repository Firewall 配备了 AI 行为分析和自动化策略实施功能，可在恶意开源组件渗透到开发环境之前将其阻止。该公司依靠其安全研究团队来确保这种警惕性转化为有效的预防措施，今年第一季度防止了近 21,000 次开源恶意软件攻击就证明了这一点。