根据Sonatype的数据,针对软件开发人员的威胁类型发生了显著变化,在2025年第一季度共发现了17,954个开源恶意软件包。
季度细分(来源:Sonatype)
与上个季度发现的34,000多个恶意软件包相比,第一季度的数字大幅下降,主要是由于安全持有软件包的急剧下降。然而,与去年同期相比,总体恶意软件数量翻了一番多。
2025年第一季度开源恶意软件指数的主要发现包括:
数据泄露恶意软件占主导地位:2025年第一季度发现的恶意软件中有56%与数据泄露有关,旨在从受感染的系统中收集敏感信息,比2024年第四季度的26%大幅增加。这种增长凸显了人们对敏感信息通过恶意开源组件被泄露的日益担忧。
加密矿工保持稳定:加密挖矿恶意软件占2025年第一季度发现的恶意软件包的7%,比2024年第四季度的3.5%翻了一番,这表明资源劫持攻击在开源生态系统中仍然很普遍。
金融服务和政府机构防御攻击:Sonatype在2025年第一季度帮助阻止了超过20,000次开源恶意软件攻击——金融服务公司占66%,政府机构占14%,公用事业、石油和天然气行业占7%。
开源恶意软件“噪音”减少:2025年第一季度80%的日志软件包由更复杂和更具威胁性的恶意软件组成,如滴管和代码注入恶意软件。
Sonatype首席技术官Brian Fox说:“数据显示,生态系统维护者对有害成分采取行动的方式发生了有意义的变化,但也反映了威胁行为者日益复杂。”“我们看到更复杂的开源恶意软件类型有所增加,这表明攻击者正在以需要持续警惕的方式进行创新。在它进入开发环境之前,你必须阻止它——如果开源恶意软件在你的存储库中,那就太晚了。”
消息来源:helpnetsecurity, 编译:安全114;
本文由 anquan114.com 翻译整理,封面来源于网络;
转载请注明“转自 anquan114.com”并附上原文
暂无评论内容