Kaspersky meldt dat er eind 2024 in totaal 14.000 kwaadaardige pakketten zijn gevonden in open-source projecten, een toename van 50% ten opzichte van eind 2023. 42 miljoen versies van open source-pakketten zijn in heel 2024 door Kaspersky onderzocht op kwetsbaarheden.
Open-source is software met broncode die iedereen kan inspecteren, wijzigen en verbeteren. Populaire open-source pakketten zijn onder andere GoMod, Maven, NuGet, npm en PyPI. Dit zijn tools die talloze toepassingen aandrijven en ontwikkelaars helpen bij het eenvoudig vinden, installeren en beheren van vooraf gebouwde codebibliotheken, waardoor het eenvoudiger wordt om software te bouwen door hergebruik van code die anderen hebben geschreven. Aanvallers profiteren van de populariteit van deze en andere pakketten.
In maart 2025 werd gemeld dat de Lazarus Group verschillende schadelijke npm-pakketten had ingezet, die meerdere keren werden gedownload voordat ze werden verwijderd. Deze pakketten bevatten malware om referenties en cryptocurrency portemonneegegevens te stelen en backdoors in te zetten, gericht op de systemen van ontwikkelaars in Windows, macOS en Linux. De aanval maakte gebruik van GitHub repositories voor extra legitimiteit, wat de geraffineerde supply chain-tactieken van de groep benadrukt. Kaspersky’s GReAT vond ook andere npm-pakketten die gerelateerd waren aan deze aanval. Schadelijke npm-pakketten kunnen zijn geïntegreerd in webontwikkeling, cryptocurrency-platforms en bedrijfssoftware, met het risico van wijdverspreide diefstal van gegevens en financiële schade.
In 2024 werd een geavanceerde achterdeur ontdekt in XZ Utils versies 5.6.0 en 5.6.1, een veelgebruikte compressiebibliotheek in Linux-distributies. De kwaadaardige code werd toegevoegd door een vertrouwde medewerker en was gericht op SSH-servers, waardoor commando’s op afstand konden worden uitgevoerd en talloze systemen wereldwijd werden bedreigd. Het incident werd ontdekt voordat het op grote schaal werd gebruikt vanwege prestatieafwijkingen en benadrukte de gevaren van aanvallen in de toeleveringsketen. XZ Utils is een integraal onderdeel van besturingssystemen, cloudservers en IoT-apparaten, waardoor het een bedreiging vormt voor kritieke infrastructuur en bedrijfsnetwerken.
In 2024 ontdekte Kaspersky’s GReAT dat aanvallers schadelijke Python-pakketten zoals chatgpt-python en chatgpt-wrapper hadden geüpload naar PyPI, waarmee legitieme tools voor interactie met ChatGPT API’s werden nagebootst. Deze pakketten, ontworpen om referenties te stelen en achterdeurtjes in te zetten, maakten gebruik van de populariteit van AI-ontwikkeling om ontwikkelaars te verleiden ze te downloaden. Deze pakketten konden worden gebruikt in AI-ontwikkeling, chatbot-integraties en data-analyseplatforms, waardoor gevoelige AI-workflows en gebruikersgegevens in gevaar kwamen.
“Open source software is de ruggengraat van veel moderne oplossingen, maar de openheid ervan wordt als wapen gebruikt. De stijging van 50% kwaadaardige pakketten tegen het einde van 2024 laat zien dat aanvallers actief geavanceerde backdoors en gegevensdieven inbouwen in populaire pakketten, waar miljoenen op vertrouwen. Zonder rigoureuze doorlichting en realtime monitoring kan één gecompromitteerd pakket een wereldwijde inbreuk veroorzaken. Organisaties moeten de toeleveringsketen beveiligen voordat de volgende aanval op XZ Utils-niveau slaagt,” zegt Dmitry Galov, hoofd van het onderzoekscentrum voor Rusland en het GOS bij Kaspersky’s GReAT.
Om veilig te blijven, raadt Kaspersky aan:
– Gebruik een oplossing voor het monitoren van de gebruikte open-source componenten om de bedreigingen te detecteren die erin verborgen kunnen zitten.
– Als je vermoedt dat een bedreigende actor toegang heeft gekregen tot de infrastructuur van je bedrijf, raden we je aan de Kaspersky Compromise Assessment-service te gebruiken om eerdere of lopende aanvallen te ontdekken.
– Controleer pakketbeheerders: controleer de geloofwaardigheid van de beheerder of organisatie achter het pakket. Kijk naar een consistente versiegeschiedenis, documentatie en een actieve issue tracker.
– Blijf op de hoogte van opkomende bedreigingen: abonneer u op beveiligingsbulletins en waarschuwingen met betrekking tot het open-source ecosysteem. Hoe eerder u op de hoogte bent van een bedreiging, hoe sneller u kunt reageren.
