悪意のオープンソース・パッケージ数：2024／2025 比較で 73% 増 – ReversingLabs

Report: Open Source Malware Instances Increased 73% in 2025

2026/01/29 SecurityBoulevard — 2025 年に発見された悪意のオープンソース・パッケージの数が、前年と比較して 73% 増加したことを、今週に公開された ReversingLabs の Software Supply Chain Security Report 2026 が明らかにした。この調査では、1 万件を超える悪意のオープンソース・パッケージが発見されたが、その大半は node package manager (npm) を悪用するものであり、ソフトウェア・サプライチェーンを侵害するために悪用されていた。こうした悪意のオープンソース・ソフトウェア活動全体の 90% を、npm が占めていることも判明した。

ReversingLabs のレポートによると、Shai-hulud による 2 つの攻撃キャンペーンだけで 1,000 を超える npm パッケージが侵害され、より大規模なキャンペーンの足がかりとして、推定 25,000 の GitHub リポジトリが露出した。

その一方で、Python Package Index (PyPI) リポジトリ上で検出されたマルウェアの件数が、2025 年は大幅に減少したという明るい材料もある。具体的には、2024 年に検出された 1,575 件から、2025 年には 891 件へと減少し、43% の低下となった。

また 2025 年には、主要な 4 つのオープンソース・パッケージ・マネージャーである npm／PyPI／NuGet／RubyGems の全体において、シークレット露出の増加も確認されている。このレポートによると、開発者シークレットの露出インシデントは 11% 増加し、検出された漏洩の約 95% を、PyPI と npm が占めていた。漏洩したシークレットの最大の発生源は、Google／Amazon Web Services (AWS)／Slack／Telegram である。

Google Cloud プラットフォームは、npm 上で検出された 39,000 件超のシークレットの 23% を占め、PyPI 上で検出された約 9,300 件のシークレットの 14% を占めていた。AWS 関連は 145 件であり、露出した開発者シークレットの大半は、あまり知られていないアプリケーションに起因しており、それらが npm と PyPI の両方で検出された漏洩全体の約 3 分の 2 を占めていた。これに対して、Discord／GitHub／Slack などのアプリケーションでは、前年同期比でシークレット検出数が約 50% 減少している。

ReversingLabs の Chief Software Architect である Tomislav Pericin は、「このレポートが明確に示しているのは、少数のメンテナーに支えられた利用頻度の低いオープンソース・プロジェクトから、数千の下流アプリケーションにマルウェアを注入できるオープンソース・プロジェクトへと、脅威アクターたちの標的が移行している点である」と述べている。

さらに同氏は、「多くの DevOps およびサイバーセキュリティ・チームが、オープンソース・ソフトウェアにおけるマルウェアは解決不能な問題であると考え、コードを脆弱性の観点からレビューし、デプロイ前に問題の修正を強く求めることを怠っている」と付け加えている。

また、JP Morgan Chase が先導しているように、脆弱性が多すぎるソフトウェアについてはライセンスを更新しないと、ソフトウェア・ベンダーに通知する対応を取っている組織が、まだまだ少ないことも指摘されている。

さらに、政府機関は要件を緩和するのではなく、アプリケーション提供者に対してソフトウェアのセキュリティ保証を求めることで、引き続き模範を示すべきであると、Tomislav Pericin は述べている。

総じて、許容できるアプリケーション・セキュリティ・リスクと見なす基準線を、それぞれのユーザー組織が見直す必要がある。ただし、ソフトウェア提供者から高品質なアプリケーションを得るために、ソフトウェア・エンジニアリング・チームが持つ政治的な権限が、どの程度あるのかは不明であると、同氏は付け加えている。

確実に言えるのは、人工知能 (AI) の時代において、凄まじいスピードで大量のコードが開発／デプロイされる中で、品質とセキュリティを軽視する現在のスタンスが、将来における後悔につながり得ることである。

ReversingLabs が発表した “Software Supply Chain Security Report 2026” は、2025年のソフトウェア・サプライチェーンを取り巻く脅威の、驚異的な変化を浮き彫りにしています。2025 年に発見された悪意のあるオープンソース・パッケージは 1 万件を超え、前年比で 73% も増加しました。特に注目すべきは、この悪意ある活動の 90% が npm (Node Package Manager) に集中している点です。

ReversingLabs の Chief Software Architect である Tomislav Pericin は、少数のメンテナーによる小規模プロジェクトから、数千の下流アプリに影響を与える大規模プロジェクトへと、攻撃者の標的が明確にシフトしていると警告しています。よろしければ、カテゴリー SupplyChain も、ご参照ください。