供應鏈資安業者 Sonatype 發布的 2025 年第二季「開源惡意軟體指數」報告顯示,今年第二季開源惡意軟體數量較去年同期激增 188%。這主要歸因於自動化攻擊技術的發展,以及威脅環境中存在高回報、低風險的特性。該報告專門研究發布在 npm 和 PyPI 等熱門資源庫中的惡意開源套件。
數據竊取成為主要威脅
報告指出,數據竊取是最常見的惡意軟體類型,有超過 4,400 個軟體套件專為竊取機密資訊、個人識別資料、登入憑證和 API 金鑰而設計。攻擊者主要採用兩種手法:
- 偽裝成知名可信軟體套件的檔案,也就是所謂的域名仿冒攻擊。當使用者下載並執行時,惡意軟體會竊取數據和憑證。
- 在合法套件中植入後門程式,如去年的 XZ Utils 事件。
攻擊規模持續擴大
Sonatype 在 2025 年第二季報告中強調,開源存儲庫中的惡意軟體問題正在持續惡化。於 2025 年 4 月 1 日至 6 月 30 日期間發現 16,279 個開源惡意程式實例。
報告指出,開源元件在現代軟體開發中扮演基礎角色。然而,隨著使用量增加,惡意行為者有更多機會利用信任關係並自動化攻擊。報告進一步表示,
第二季數據顯示明確趨勢:攻擊者正在優化數據竊取型惡意程式,藉此收集機密資訊和存取憑證,進而發動供應鏈攻擊或雲端帳號接管等後續攻擊。
惡意軟體分類與分析
資料竊取是最常見的惡意軟體用途,佔總樣本的 55%。Sonatype 的報告指出,超過 4,400 個軟體套件專門設計用來竊取機密資訊、個人識別資料(PII)、登入憑證及 API 金鑰。此外,5% 的套件含有加密貨幣挖礦程式,2% 包含程式碼注入攻擊,另有 3% 會導致資料毀損。
軟體開發人員因頻繁使用開源套件而成為攻擊者的主要目標。這不僅有利於發動供應鏈攻擊,還因為開發人員擁有機密資訊和金鑰。Sonatype 首席安全研究員 Garrett Calpouzos 指出,這些敏感資料「通常存放在可預測的位置」。
Lazarus集團鎖定開發環境,針對CI/CD基礎設施
Sonatype 將開源惡意軟體同比增長 188% 歸於三個關鍵因素:
- 攻擊者能夠自動化發布和管理大量惡意程式。
- 開發人員和 CI/CD 系統通常使用一致的檔案名稱和變數名稱,使程式化資料竊取變得容易。
- 在開源生態系統中進行憑證竊取對攻擊者而言是「風險相對較低、回報卻高」的策略。
在第二季度,Sonatype 發現北韓進階持續性威脅(APT)組織 Lazarus與 107 個惡意套件有關,這些套件的下載量超過 30,000 次。值得注意的是,所有被觀察到的套件都指向與先前Lazarus相關活動關聯的共享程式碼庫,證實這不是孤立事件,而是持續性攻擊行動的一部分。
這些套件旨在竊取憑證並執行任意程式碼,使攻擊者能夠入侵開發人員的電腦或 CI/CD 基礎設施。雖然確切影響範圍仍在調查中,但這些套件的持續出現凸顯了國家級駭客持續濫用開源生態系統的問題。
專家指出,第二季觀察到的大多數行為不同於資料勒索攻擊,更類似駭客取得存取權後進行的情報收集與間諜活動。攻擊者利用開源惡意程式秘密收集憑證和機密資訊,這些資料可被出售或留待日後使用,有時由同一駭客利用,有時則轉手給他人。拉撒路等組織明顯偏好長期潛伏和資料收集,而非即時金錢勒索。不過,依據他們獲得的存取權限,勒索攻擊仍是可能的選項。
研究團隊也發現,疑似中國威脅行為者 Yeshen-Asia 透過多個不同帳號上傳了近 100 個惡意套件,這些套件偽裝成開發工具。所有惡意套件遵循一致的模式:每個套件由不同作者帳號發布,僅包含一個惡意元件,且全都連接到受 Cloudflare 保護的
yeshen.asia 網域背後的基礎設施。
此外,報告也指出,其中一個 npm 作者帳號在被下架前已累積超過 23,000 次安裝,顯示此攻擊活動既隱蔽又廣泛。雖然這波攻擊未使用新技術,但其高度自動化程度和重複使用基礎設施的模式,反映出一場蓄意且持續性的攻擊行動,主要目標是竊取登入憑證和機密資料。
資安人員的應對策略
資安人員應盤點使用中的軟體物料清單(SBOM),驗證元件來源真實性,並降低開發環境的風險。
建議採取以下措施:使用隔離的沙箱環境進行軟體建置、限制直接存取公共套件庫,以及監控依賴項中的可疑行為,尤其要注意安裝後指令碼(post-install scripts)。
關鍵在於將開源套件視為潛在的攻擊媒介,並以評估外部可執行程式碼的嚴謹標準來審查它們。
本文轉載自 DarkReading。