Graphique sombre avec des touches orange affichant le texte "Sonatype Open Source Malware Index Q1 2026".

Open Source : un nouveau paquet malveillant détecté toutes les 6 minutes depuis le début de l’année 2026

/ Études Sécurité / 3 minutes de lecture
Le verdict du rapport Sonatype Q1 2026 est tombé, et il donne des sueurs froids. Au cours des trois premiers mois de l’année, 21 764 paquets malveillants ont été injectés dans les écosystèmes open source. C’est simple : pour les développeurs, c’est l’équivalent d’une nouvelle menace toutes les six minutes.

Depuis 2017, le compteur total grimpe désormais à 1 346 867 paquets corrompus. Mais au-delà du volume, c’est la méthode qui inquiète les experts : nous sommes entrés dans l’ère de l’« abus de confiance ». Les attaquants ne créent plus de faux outils grotesques ; ils piratent vos outils préférés pour s’y cacher.

npm et PyPI : les terrains de chasse favoris

Sans surprise, le registre npm (JavaScript) reste la cible prioritaire, concentrant 75 % des détections. Avec environ 46 nouveaux paquets malveillants par jour, l’écosystème JS paie le prix de son immense popularité. PyPI (Python) suit avec 18 %, porté par l’explosion des projets liés à l’IA.

La menace dominante ? Le cheval de Troie. L’objectif n’est plus de détruire, mais de voler : identifiants, variables d’environnement, clés API et secrets cloud sont les trophées recherchés pour infiltrer les environnements de production (CI/CD).

« Les attaques les plus efficaces ne sont plus manifestement malveillantes. Elles se dissimulent derrière des workflows légitimes et des mises à jour de routine. » — L’équipe de recherche Sonatype.

Trois attaques qui ont marqué le trimestre

L’étude de Sonatype met en lumière trois campagnes particulièrement sophistiquées qui illustrent ce durcissement :

  1. Le séisme Axios : le 31 mars, le compte d’un mainteneur du célèbre client HTTP Axios (100 millions de téléchargements par semaine !) a été piraté. Des versions infectées ont été publiées, contenant une « backdoor » liée à des groupes étatiques nord-coréens (Sapphire Sleet). Bien que supprimées en trois heures, l’impact potentiel était colossal.

  2. L’IA sous surveillance (SANDWORM_MODE) : une campagne a ciblé les machines de développeurs via du typosquatting. Plus inquiétant, les chercheurs ont trouvé du code capable d’interagir avec les instances locales d’Ollama AI, suggérant des tests pour des malwares capables de s’auto-modifier grâce à l’IA.

  3. Le piratage des outils de sécurité (Trivy / LiteLLM) : en mars, une compromission du scanner de sécurité Trivy a permis d’injecter du code malveillant dans la bibliothèque LiteLLM. Utiliser un outil de sécurité pour infecter sa propre chaîne de production : c’est le comble de l’ironie cyber.

Comment protéger vos développements ?

Face à des attaques qui se cachent derrière des noms familiers, la réputation d’un paquet ne suffit plus. Sonatype recommande plusieurs mesures d’hygiène cyber assez strictes :

  • Inspectez les dépendances transitives : Le malware arrive souvent par une bibliothèque « enfant » cachée au fond de l’arbre de dépendances (comme vu avec l’attaque Axios).

  • Sécurisez vos environnements CI/CD : Ils sont devenus les cibles prioritaires pour le vol de secrets Kubernetes ou de jetons cloud.

  • Rotation des secrets : En cas d’exécution suspecte d’un paquet, supprimer le code ne suffit pas. Il faut impérativement réinitialiser toutes vos clés API et identifiants.

Must Read

Retour en haut