サプライチェーンセキュリティ企業Sonatypeが2025年第2四半期「オープンソースマルウェアインデックス」レポートを発表した。
2025年4月1日から6月30日の期間に、npmやPyPIなどの主要リポジトリで16,279件の悪意のあるオープンソースパッケージを発見した。前年同期比で188%増加し、開発者やCI/CDパイプラインを標的とした攻撃の規模と巧妙さが増している。
データ窃取が最も一般的な脅威で、全体の55%を占める。4,400以上のパッケージが秘密情報、個人識別情報、認証情報、APIトークンの窃取を目的として設計されていた。データ破損を目的とするマルウェアは全体の3%を占めた。暗号通貨マイニングマルウェアは5%に減少した。北朝鮮のAPTグループLazarus Groupに関連する107の悪意のあるパッケージが発見され、これらは30,000回以上ダウンロードされていた。中国の脅威行為者と疑われるYeshen-Asiaが約100の悪意のあるパッケージをアップロードし、1つのnpm作成者だけで23,000回以上のインストールを記録した。
From: 
Malicious Open Source Packages Spike 188% YoY
【編集部解説】
今回のSonatypeレポートが示すデータは、オープンソースエコシステムにおける脅威の質的変化を明確に物語っています。単なる数値の増加以上に、攻撃者の戦略が根本的に変化していることを理解する必要があります。
従来のサイバー攻撃では、システムの破壊や身代金要求が主な目的でした。しかし現在の攻撃者は、より長期的で戦略的なアプローチを採用しています。データ窃取が全体の55%を占めるという事実は、攻撃者が「一度の大きな成果」よりも「継続的な価値創出」を重視していることを示しています。
開発者が標的となる理由
開発者が攻撃の中心となっているのは偶然ではありません。現代のソフトウェア開発では、開発者が企業の最も機密性の高い資産へのアクセス権を持っているためです。APIキー、データベース認証情報、クラウドサービスのトークンなど、これらの情報は攻撃者にとって「金の卵を産むガチョウ」と言えるでしょう。
特に注目すべきは、攻撃の自動化が進んでいることです。Sonatypeの分析によると、攻撃者は一貫したファイル名や変数名を利用してプログラム的にデータを窃取しています。これは、攻撃が個人の技術力に依存する時代から、組織的で工業化された脅威へと進化していることを意味します。
国家レベルの脅威の台頭
北朝鮮のLazarus Groupによる107のパッケージ、30,000回以上のダウンロードという数字は、国家主体がオープンソースエコシステムを戦略的に悪用していることを示しています。これは単なるサイバー犯罪を超えた、国家安全保障レベルの問題となっています。
興味深いのは、Lazarus Groupの戦術が従来の暗号通貨窃取から、より広範囲なデータ収集へと進化していることです。Brian Fox氏が指摘するように、「攻撃者はオープンソースマルウェアを使用して、後で販売または活用できる認証情報と秘密情報を静かに収集している」のです。
技術的な複雑さの増大
データ破損を目的とするマルウェアが全体の3%を占めるようになったことは、攻撃者の意図がより多様化していることを示しています。これらの攻撃は、単にデータを盗むだけでなく、システムそのものを機能不全に陥らせることを目的としています。
一方で、暗号通貨マイニングマルウェアが5%に減少したことは、攻撃者がより効率的で発見されにくい手法に移行していることを示しています。これは攻撃の洗練化を表す重要な指標と言えるでしょう。
エコシステム全体への影響
この脅威は個別の企業や開発者の問題を超えて、デジタル社会の基盤そのものに影響を与えています。オープンソースソフトウェアは現代のITインフラストラクチャの根幹を成しており、ここでの脅威は連鎖的に広がる可能性があります。
中国の脅威行為者Yeshen-Asiaによる約100のパッケージ配布は、国際的な脅威の広がりを示しています。これらのパッケージは「開発者ツール」を装いながら、実際には認証情報窃取とデータ流出を目的としていました。
防御戦略の必要性
この状況に対処するためには、従来の「境界防御」から「ゼロトラスト」モデルへの転換が不可欠です。開発環境の分離、依存関係の継続的監視、そして何よりも「オープンソースパッケージを外部実行可能コードと同等に扱う」という意識改革が求められています。
長期的には、オープンソースエコシステム全体でのセキュリティ標準の確立と、国際的な協力体制の構築が必要となるでしょう。現在の188%という増加率が示すトレンドが続けば、2026年には更なる脅威の拡大が予想されます。
【用語解説】
タイポスクワッティング
正規のソフトウェアパッケージ名に似せた偽のパッケージ名を使用する攻撃手法。開発者のタイプミスを狙い、悪意のあるパッケージをダウンロードさせる。
npm
Node.jsのパッケージマネージャーで、JavaScriptライブラリを配布する世界最大のソフトウェアレジストリ。Node Package Managerの略称。
PyPI
Python Package Indexの略称。Pythonプログラミング言語用のソフトウェアパッケージを配布する公式リポジトリ。
CI/CDパイプライン
Continuous Integration/Continuous Deploymentの略。ソフトウェア開発における継続的インテグレーションと継続的デプロイメントの自動化プロセス。
APT(Advanced Persistent Threat)
高度で持続的な脅威。国家や組織が背景にある高度なサイバー攻撃グループを指す。長期間にわたって標的に潜伏し、機密情報を窃取する。
データ窃取(Data Exfiltration)
システムから機密データを不正に抽出・転送する行為。認証情報、APIキー、個人情報などが標的となる。
ソフトウェア部品表(SBOM)
Software Bill of Materialsの略。ソフトウェアに含まれるすべてのコンポーネントとその依存関係を記録した文書。
XZ Utils
2024年に発生したオープンソースソフトウェアへのバックドア挿入事件。正規のメンテナーが長期間にわたって信頼を築いた後、悪意のあるコードを挿入した事例。
【参考リンク】
Sonatype(外部)
ソフトウェアサプライチェーンセキュリティの専門企業。オープンソースコンポーネントの脆弱性管理とマルウェア検出ソリューションを提供
Dark Reading(外部)
サイバーセキュリティ分野の専門メディア。企業のセキュリティ担当者向けに最新の脅威情報と対策を提供
npm(外部)
Node.jsエコシステムの公式パッケージレジストリ。世界最大のソフトウェアレジストリとして200万以上のパッケージを提供
PyPI(外部)
Python Package Indexの公式サイト。Pythonプログラミング言語用のソフトウェアパッケージを配布する中央リポジトリ
OpenSSF(外部)
オープンソースソフトウェアのセキュリティ向上を目的とした業界団体。Linux Foundationの傘下でセキュリティベストプラクティスを推進
【参考記事】
Malware Targeting Developers Reaches 845K Packages(外部)
Sonatype公式プレスリリース。2025年第2四半期に16,279件の悪意のあるオープンソースパッケージを発見し、前年同期比188%増加の詳細データを提供
Open Source Malware Index Q2 2025(外部)
Sonatype公式ブログ記事。Yeshen-Asiaキャンペーンの詳細分析を含む2025年第2四半期のオープンソースマルウェア動向レポート
Sonatype report finds 188% spike in open-source malware(外部)
SiliconANGLEによるSonatypeレポートの分析記事。データ窃取が55%を占める脅威動向について詳細に報告
Kaspersky Exposes Lazarus’ New Campaign(外部)
Kasperskyによる北朝鮮Lazarus Groupの新たなキャンペーン分析。正規ソフトウェアを悪用した高度な攻撃手法の詳細を報告
Open-source malware targets data exfiltration(外部)
BetaNewsによるSonatypeレポートの解説記事。データ窃取に焦点を当てた攻撃の増加について報告
【編集部後記】
開発者の皆さんは、普段使っているオープンソースパッケージをどのように選んでいますか?ダウンロード数やスター数だけで判断していませんか?今回のレポートを読んで、私たちも改めて「信頼」の定義について考えさせられました。もしかすると、あなたの開発環境にも既に悪意のあるパッケージが紛れ込んでいるかもしれません。この記事をきっかけに、一度ご自身のプロジェクトの依存関係を見直してみませんか?また、チーム内でのセキュリティ意識についても話し合ってみてはいかがでしょうか。私たちinnovaTopia編集部も、この急速に変化する脅威環境の中で、どのように安全性と開発効率のバランスを取るべきか、皆さんと一緒に考えていきたいと思います。
