Les logiciels malveillants open source explosent. Selon le dernier Open Source Malware Index publié par Sonatype, le nombre de paquets compromis a bondi de 140 % au troisième trimestre 2025. En trois mois, plus de 34 000 nouveaux logiciels malveillants ont été découverts dans les principaux registres open source – npm, PyPI, Hugging Face – portant à 877 522 le total de paquets malveillants identifiés depuis 2019.
Derrière cette explosion, les chercheurs de Sonatype observent un changement de stratégie des attaquants : ils visent désormais les développeurs, au cœur de la chaîne de confiance logicielle. « L’ère des malwares bruyants et opportunistes est révolue », résume Brian Fox, CTO de Sonatype. « Les attaquants sont patients, organisés et utilisent désormais l’IA pour s’intégrer dans les outils mêmes sur lesquels les développeurs s’appuient. »
Des attaques plus silencieuses et plus ciblées
Fini les simples mineurs de cryptomonnaies : les nouveaux maliciels open source se concentrent sur l’exfiltration de données et la persistance furtive dans les environnements de développement. Ces paquets visent à voler des identifiants GitHub, des jetons d’accès API ou du code propriétaire. Près de 35 % des malwares détectés appartiennent désormais à cette catégorie.
Autre tendance inquiétante : les droppers, ces programmes légers qui téléchargent des charges secondaires, ont explosé de 2 887 % pour représenter 38 % de toutes les menaces. En revanche, les cryptomineurs poursuivent leur déclin : ils ne représentent plus que 4 % des attaques, contre 6 % le trimestre précédent.
Deux affaires ont particulièrement marqué le trimestre.
- En septembre, plusieurs paquets npm extrêmement populaires — dont chalk et debug — ont été compromis via une attaque de phishing contre un mainteneur. Ces modules cumulent plus de 2 milliards de téléchargements hebdomadaires, ce qui en fait l’un des plus grands incidents de la chaîne d’approvisionnement open source de ces dernières années.
- Quelques semaines plus tard, un malware baptisé Shai-Hulud (clin d’œil à Dune) a émergé : le premier ver auto-réplicatif ciblant directement l’écosystème npm. En quelques jours, il a compromis plus de 500 packages en récoltant automatiquement des identifiants de développeurs avant de publier de nouveaux paquets infectés.
Les entreprises du secteur financier ont essuyé près de la moitié (47 %) des attaques bloquées par les outils de sécurité de Sonatype, suivies par les services aux entreprises (14 %). Les administrations publiques ne sont pas épargnées : les attaques détectées dans ce secteur ont grimpé de 218 % depuis le début de l’année. Ces chiffres rappellent à quel point le risque open source dépasse désormais les seuls projets communautaires. Chaque dépendance logicielle, chaque bibliothèque intégrée à une chaîne CI/CD peut devenir une porte d’entrée.
Un nouvel équilibre à trouver
Pour Sonatype, la priorité est claire : automatiser la détection des paquets compromis et renforcer la surveillance continue dans les environnements de développement. Car les développeurs, longtemps considérés comme des bâtisseurs, deviennent aujourd’hui la première ligne de défense.
L’étude complète, dont l’infographie est reproduite ci-dessous, se trouve sur le site de Sonatype, en anglais.
