文章來源:https://www.sonatype.com/blog/open-source-malware-index-q1-2025Sonatype 持續致力於為企業提供最新的開源安全威脅資訊。作為這項承諾的一部分,我們將每季分享數據與洞察,深入剖析開源惡意軟體的發展趨勢,包括具代表性的惡意套件。
開源惡意軟體(即惡意的開源套件)迅速蔓延,對軟體供應鏈造成前所未有的攻擊風險。與程式漏洞這類「非故意」的編碼錯誤不同,開源惡意軟體是蓄意設計用來攻擊開發人員並滲透軟體供應鏈的威脅。這類惡意程式具有隱蔽性,能在應用載入階段觸發,往往能避過傳統的掃描與端點防護系統偵測。
2025 Q1 數據總覽
從 1 月 1 日至 3 月 31 日,Sonatype 共發現 17,954 筆開源惡意軟體。雖然相比前一季的 34,000 筆有所下降,但與 2024 年同期相比,總量已翻倍。
其中,2025 年第一季有超過半數(56%)與資料外洩有關,主要設計用於蒐集受感染系統的敏感資訊。相比 2024 年第四季僅 26%,成長顯著。此外,2025 Q1 的加密挖礦惡意程式占比達 7%,也高於上一季的 3.5%,顯示資源挾持型攻擊仍持續存在於開源生態中。
值得關注的發現:
遭劫持的 npm 加密套件
有多個熱門與加密貨幣相關的 npm 套件被駭客劫持並重新發布,內含用於竊取資訊的惡意程式碼。這些重新封裝的套件保留原始功能以避免偵測,但會暗中外傳如環境變數、用戶資料、目錄結構與系統資訊等資料。
這波攻擊針對加密與區塊鏈開發套件,特別針對開發中常用的敏感金鑰與憑證,顯示攻擊者的策略性布局。相關惡意版本多由同一威脅行為者發出,其使用的基礎設施與混淆技術高度重疊。
這提醒開發者,依賴第三方套件須謹慎,且應導入即時惡意軟體偵測機制,才能保障供應鏈安全。
針對 VS Code 的 Truffle 偽套件
另一個發現是偽裝成 VS Code 擴充功能的 npm 套件,其實內含變造版的遠端桌面工具 ScreenConnect,用於進行監控與間諜行為。這個看似正常的開發工具實際安裝了未經授權的遠端存取軟體。
攻擊者可藉此獲得對受感染系統的完全控制權,包括螢幕監控與資料外傳。此攻擊使用已編譯的二進位檔而非腳本,更難被偵測。
這顯示一個新趨勢:駭客透過合法工具包裝惡意行為,在開源供應鏈中模糊工具與威脅的界線。
偽裝成 Solana 工具的套件
另一起事件中,針對 Solana 開發者的 npm 套件遭發現含有 Windows 木馬程式,具備鍵盤側錄與資料竊取功能。這些套件下載次數超過 1,900 次,內含的 PowerShell 腳本會記錄鍵盤輸入與螢幕截圖,並透過 Slack Webhook 與 ImgBB API 傳送資料至外部伺服器。
這再次突顯開源生態中對加密開發社群的潛在風險,開發者應加強驗證第三方套件並採取嚴格的安全措施。
Sonatype 的防護成效
從加密相關的惡意套件、假開發工具到間諜軟體,2025 Q1 顯示開源惡意軟體的數量與複雜度正持續上升。駭客持續針對開源生態,企圖竊取憑證、外洩資料並滲透開發環境。
許多此類威脅可繞過傳統偵測工具,但 Sonatype Repository Firewall 提供即時機器學習與行為分析,可自動封鎖新舊惡意套件,自 2019 年以來已攔截逾 10 萬筆惡意程式。
如需全方位供應鏈安全保護,建議搭配 Sonatype Lifecycle 使用,實現 SDLC 全流程的監控、政策落實與開源治理。
請持續關注我們下季更新報告,並保持警覺。威脅持續進化,但我們的防禦工具也不斷精進。
聯絡我們