Le réveil est brutal pour l’industrie logicielle. Selon le dernier rapport « Malware in the Open Source Ecosystem » publié ce mardi par Endor Labs, les logiciels malveillants dissimulés dans les dépôts publics ont bondi de 14 fois en seulement deux ans. Une accélération sans précédent qui place 2025 comme l’année de toutes les ruptures.
Les chiffres de l’étude 2026 Endor Labs donnent le vertige : plus de 90 % de tous les avis de sécurité liés aux malwares open source jamais déposés l’ont été durant la seule année 2025. Ce n’est plus une tendance, c’est un changement d’ère.
Le vecteur d’attaque privilégié ? Le piratage de compte (Account Takeover – ATO). Les attaquants ne s’embêtent plus à créer des paquets obscurs (typosquatting), ils préfèrent voler les identifiants des mainteneurs de confiance pour injecter du code malveillant directement dans des bibliothèques massivement utilisées. Sur npm, 92 % des piratages de comptes enregistrés dans l’histoire de la plateforme ont eu lieu l’année dernière.
Ciblage stratégique : Les gros poissons dans le filet
L’étude publiée sur le blog d’Endor Labs détruit un mythe : celui que seuls les « petits » paquets sont à risque.
-
38,4 % des paquets compromis en 2025 comptaient plus de 1 000 téléchargements mensuels.
-
11,1 % dépassaient même les 100 000 téléchargements.
L’exemple le plus flagrant reste l’attaque contre Axios (client HTTP utilisé 100 millions de fois par semaine) le 31 mars dernier. Un compte de mainteneur a été détourné pour diffuser des chevaux de Troie ciblant Windows, Linux et macOS. De même, la campagne de la TeamPCP a réussi à compromettre des outils comme le scanner Trivy et la bibliothèque LiteLLM, prouvant que même les outils de sécurité ou d’IA ne sont pas épargnés.
Pour protéger vos propres accès et éviter de devenir le maillon faible, il est crucial d’utiliser des gestionnaires sécurisés.
Paradoxe organisationnel : Une priorité sans budget ?
C’est sans doute le constat le plus cinglant du rapport : si 81 % des entreprises affirment que les malwares open source sont une priorité absolue, moins de la moitié (48 %) prévoient d’augmenter leur budget sécurité en 2026.
Pire encore, alors que 88 % des professionnels savent que les premiers jours suivant la sortie d’un paquet sont les plus risqués, seuls 21 % imposent une période de latence (« cooldown period ») avant d’intégrer une mise à jour dans leurs pipelines de production. Cette passivité laisse une fenêtre de tir béante aux groupes de hackers, souvent liés à des États-nations comme la Corée du Nord, pour exfiltrer des secrets et établir des persistances dans le cloud.
| Écosystème | Hausse des malwares (2025) |
| npm | + 1200 % (ATOs) |
| Global (tous dépôts) | + 1400 % en 2 ans |
| Volume total connu | > 1,2 million de paquets malveillants |
Le diagnostic de Charles Carmakal, directeur technique de Mandiant, est sans appel : les secrets dérobés lors de ces vagues d’attaques alimenteront les ransomwares et l’espionnage industriel pour les mois à venir. Face à cette menace, la seule solution reste une hygiène numérique stricte.
