Sonatype ontdekte in het tweede kwartaal van 2025 16.279 kwaadaardige open-source packages, een stijging van 188 procent ten opzichte van vorig jaar. Het stelen van gegevens blijft de belangrijkste tactiek van aanvallers, met geavanceerde campagnes die zich richten op ontwikkelaars en hun inloggegevens.
Developers beschikken over wat aanvallers het meest waarderen: toegang tot geheimen en sleutels die op voorspelbare locaties zijn opgeslagen. Omgevingsvariabelen, configuratiebestanden en CI/CD-tools bevatten gevoelige informatie die ongeoorloofde toegang kan verschaffen tot cloudaccounts, API’s, databases en interne systemen. Zelfs als ze niet direct tot een infiltratie leiden, zijn ze door te verkopen na buitmaking.
Het crypto-encrypt-ts-pakket is een voorbeeld van deze doelgerichte strategie, blijkt uit een recent rapport van Sonatype. Het deed zich voor als een legitieme heruitgave van de CryptoJS-library en werd bijna 2000 keer gedownload voordat het als malware werd geïdentificeerd. Eenmaal geïnstalleerd, richtte het zich selectief op crypto-wallets met een saldo van meer dan 1000 eenheden. Intussen verzamelde het MongoDB-verbindingsstrings en omgevingsvariabelen.
Deze gerichte aanpak laat een goed begrip zien van developer workflows en de waarde van de gegevens waarmee ze werken. In tegenstelling tot traditionele phishingcampagnes die gericht zijn op administratief personeel, richten deze aanvallen zich op technische medewerkers met directe toegang tot productiesystemen.
Ontwikkelaarsomgevingen onder vuur
In het tweede kwartaal van 2025 werd een verontrustende toename van supply chain-aanvallen op het ecosysteem voor softwareontwikkeling waargenomen. Kwaadwillende actoren richten zich systematisch op IDE’s. 55 procent van alle gedetecteerde packages was specifiek ontworpen voor het exfiltreren van data uit deze omgevingen.
Meer dan 4.400 packages waren ontworpen om geheimen, privé-informatie, inloggegevens en API-tokens te stelen van nietsvermoedende developers. De aanvallers maken gebruik van vertraagde payloads en versleutelde transmissies om detectie te voorkomen, waardoor deze bedreigingen bijzonder gevaarlijk zijn voor CI/CD-pipelines.
Dit patroon bestaat al jaren, overigens. Eerdere incidenten van enkele jaren geleden omvatten de verspreiding van kwaadaardige packages op PyPI, die met succes ontwikkelomgevingen infiltreerden. Op dezelfde manier werden .NET-ontwikkelaars in 2023 het doelwit. Wat de huidige aanvallen echter nog zorgwekkender maakt dan destijds, is hun omvang en persistentie. Zo vormen IDE-extensies de laatste tijd een bedreiging voor de software supply chain. Het aanvalsoppervlak is een gloeiende plaat en het wegnemen van één kwaadaardige package is slechts een druppel hierop.
Veranderend dreigingslandschap
Uit de gegevens blijkt dat de voorkeuren van aanvallers aanzienlijk zijn veranderd. Crypto-miners zijn gedaald tot slechts 5 procent van de kwaadaardige packages, omdat aanvallers zich richten op winstgevendere en hardnekkigere aanvalsvectoren. Malware voor gegevenscorruptie is in frequentie verdubbeld en vertegenwoordigt 3 procent van het totale aantal packages.
Deze verschuiving suggereert dat aanvallers zich niet langer beperken tot het stelen van bronnen, maar zich richten op activiteiten die meer schade aanrichten. De trend naar gegevensdiefstal en -corruptie wijst op een verdere ontwikkeling van supply chain-aanvallen, waarbij cybercriminelen steeds geavanceerdere technieken ontwikkelen om hun toegang te gelde te maken.
Nationale actoren mengen zich in de strijd
De Lazarus Group, gelieerd aan de Noord-Koreaanse regering, was verantwoordelijk voor 107 kwaadaardige packages met meer dan 30.000 downloads. Deze packages gebruikten misleidende namen zoals “http-parse” en “vite-meta-plugin” om over te komen als legitieme ontwikkeltools.
Los daarvan heeft de Yeshen-Asia-campagne meer dan 60 kwaadaardige npm-packages verspreid via tientallen unieke accounts, die allemaal konden worden herleid tot een gemeenschappelijke infrastructuur. De aanvallers bleven actief door systematisch accounts aan te maken en packages te publiceren.
Bescherming blijft een uitdaging
Traditionele antivirusoplossingen slagen er vaak niet in om deze geavanceerde bedreigingen te detecteren, waardoor organisaties ondanks standaardbeveiligingsmaatregelen kwetsbaar blijven. De packages maken vaak gebruik van legitieme certificaten en bootsen gevestigde projecten na, wat detectie bijzonder moeilijk maakt.
De toename van 188 procent aan kwaadaardige packages is meer dan wat statistische ruis. Het duidt op een verandering in de manier waarop aanvallers software supply chains benaderen, iets dat al geruime tijd geldt als een zeer zwakke plek in IT-omgevingen. Developers willen namelijk vooral ontwikkelen en hebben simpelweg niet als groep altijd de aandacht (of de tijd) om de potentiële cybergevaren uit te pluizen. Naarmate het gebruik van open source blijft toenemen, wordt het aanvalsoppervlak ook gewoon groter.
Organisaties moeten hierdoor flink aan de bak. Zo moet men uitgebreide monitoringsystemen implementeren die verdacht gedrag van hun code kunnen identificeren. Dat moet verder gaan dan eenvoudige detectie op basis van signatures, benadrukt Sonatype. De complexiteit van moderne ontwikkelomgevingen vraagt om securitytooling die allerlei nuances doorheeft. Het moet alle manieren begrijpen waarop kwaadaardige code kan infiltreren en zich kan nestelen in softwareprojecten. De toename van open-source malware-aanvallen benadrukt in ieder geval andermaal het cruciale belang van supply chain security. Wie het afdoet als een technische bijzaak, wordt op den duur gecompromitteerd. We vrezen dat het nog lang zal duren voordat dit inzicht, zoals Sonatype in dit rapport opnieuw laat zien, algemeen wordt aanvaard.