Open-Source unter Beschuss: Explosion bösartiger Pakete gefährdet Software-Sicherheit
Die Open-Source-Softwarelandschaft steht zunehmend unter Druck durch Angriffe auf die Lieferkette, wobei bösartige Pakete eine immense Gefahr darstellen. Laut dem ReversingLabs Software Supply Chain Security Report haben sich die Malware-Pakete in diesem Bereich im Jahr 2025 gegenüber dem Vorjahr um sagenhafte 73 Prozent erhöht. Open Source hat sich somit zum Hauptschauplatz für diese Angriffe entwickelt. Der Fokus der Bedrohungsakteure liegt dabei auf weit verbreiteten Abhängigkeiten, die als Trojanisches Pferd fungieren, um Tausende von Anwendungen in deren Nachfolge zu kompromittieren. Als dominierendes Ziel erweist sich der Node Package Manager (npm), der für 90 Prozent aller Aktivitäten verantwortlich ist. Die Shai-hulud-Kampagne demonstriert dies eindrucksvoll, indem sie über 1.000 npm-Pakete in zwei Wellen infiltrierte und schätzungsweise 25.000 GitHub-Repositories gefährdete.
Ein Lichtblick zeigt sich im Bereich Python: Die Malware-Erkennungen auf PyPI gingen im Vergleich zu 2024 um 43 Prozent zurück, von 1.575 Fällen auf 891 im Jahr 2025. Dennoch bleibt die Gefahr real und erweitert sich über reine Malware hinaus. Exponierte Entwicklergeheimnisse stiegen insgesamt um 11 Prozent über npm, PyPI, NuGet und RubyGems, wobei npm und PyPI die Hauptverantwortlichen sind. Die Datenquellen reichen von prominenten Plattformen wie Discord, GitHub und Slack, die ihre Vorfälle zwar reduziert haben, bis hin zu kleineren Anwendungssystemen, die zwei Drittel der Leaks verursachen. Auch Unternehmen wie Slack, Telegram sowie Cloud-Dienste wie AWS und Azure spielen eine Rolle in diesem komplexen Geflecht.
Tomislav Pericin, Chief Software Architect bei ReversingLabs, betont die strategische Veränderung der Angreifer: Anstatt wenig genutzte Open-Source-Projekte zu infiltrieren, zielen sie nun auf weitverbreitete Projekte ab, um maximale Reichweite und Schaden zu erzielen. Er ruft Organisationen auf, vom passiven Vertrauen zu strengeren Prüfungen, vertraglicher Durchsetzung und Sicherheitsbestätigungen überzugehen. Besonders besorgniserregend ist die zukünftige Dynamik durch KI-gesteuerte Entwicklungen, die die Risiken weiter verstärken werden, es sei denn, die Governance in der Open-Source-Welt wird signifikant verbessert. Die Herausforderung liegt also darin, ein robustes Sicherheitsnetzwerk für die Open-Source-Community aufzubauen, um diesen wachsenden Bedrohungen effektiv entgegenzuwirken.
Schlagwörter: npm + PyPI + Chain
Wie bewerten Sie den Schreibstil des Artikels?