HackerNews 编译,转载请注明出处:
2025年第二季度,针对开发者、软件团队及CI/CD流水线的攻击规模和复杂度持续攀升。网络安全公司Sonatype监测数据显示,恶意开源软件包数量同比增长188%,凸显开源生态安全威胁加剧。
该公司通过监控npm、PyPI、Maven Central等主流仓库活动发现,本季度共检出16,279个恶意开源软件包。自2017年启动分析以来,累计识别恶意包总量已达845,204个。“攻击者不再仅是试探开源生态。数据表明,威胁行为者已将数据视为最具价值的目标,而开发者成为最易突破的入口,”Sonatype联合创始人兼首席技术官Brian Fox指出,“开发和安全团队必须保持警惕,威胁正日益潜伏于日常工具和依赖项中。”
恶意包攻击目标呈现集中化趋势:
- 数据窃取主导:55%的恶意包旨在窃取机密信息,包括个人身份数据、密码、访问令牌及API密钥;数据破坏恶意软件激增:本季度检出400例此类攻击,数量较上季度翻倍,主要通过损毁文件、注入恶意代码等方式破坏应用运行;加密挖矿占比下降:相关恶意包占比5%,较前季度略有减少。
国家级黑客组织深度渗透:
朝鲜知名黑客组织Lazarus被证实关联107个恶意包,累计下载量超30,000次。这反映威胁组织正将开源生态系统作为实施网络间谍和金融犯罪的新渠道。
值得注意的是,尽管Sonatype报告2024年恶意软件同比增长156%,但相比同期主流平台超6万亿次软件包下载量,实际检出比例仍属微量。
消息来源: infosecurity-magazine;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
