Öppen källkod och malware-risker: Hur offentlig kod blir en lekplats för hackare

Öppen källkod driver den moderna världen, men riskerna med skadlig kod i öppen källkod ökar snabbare än någonsin. Hackare riktar sig i allt större utsträckning mot offentliga kodbaser för att stjäla känslig information och sabotera leverantörskedjor.

Varför öppen källkod är under attack

Öppen källkod är tillgänglig för alla – inklusive cyberkriminella. Med ökande skadlig kod smyger angripare in elakartad kod i publika kodförråd. Under andra kvartalet 2025 toppade dataexfiltration listan över hackerprioriteringar. Nu vill angripare kompromettera utvecklare direkt genom att rikta in sig på deras verktyg, system och molninfrastruktur.

Enligt Sonatypes senaste rapport upptäcktes 16 279 nya skadliga kodstycken gömda i publika förråd, inklusive på de populära plattformarna npm och PyPI.

Hur angripare utnyttjar offentlig kod

Hotbilden med skadlig kod i öppen källkod utvecklas till ett kapprustningsspel. Hackare gömmer skadliga skript i vardagliga mjukvarubibliotek som används globalt av utvecklare. Målet är att stjäla känsliga uppgifter som:

• .git-credentials
• AWS-hemligheter
• Miljövariabler
• CI/CD-token

Dessa uppgifter ger åtkomst till molnkonto, interna system, API:er och databaser. När angripare väl kommit in kan de röra sig lateralt och starta bredare leverantörskedjeattacker.

Utvecklare i skottlinjen

Till skillnad från vanliga phishingattacker som riktar sig mot kontorsanställda fokuserar denna skadliga kod på utvecklare. Hackare vet att utvecklare har nycklarna till värdefull infrastruktur. Sonatypes forskare varnar för att denna riktning kan leda till förödande intrång, där koden och verktygen utvecklarna använder tyst kan vändas till vapen inifrån.

Noterbara skadliga kampanjer inom öppen källkod

Flera uppmärksammade incidenter belyser de växande riskerna under 2025:

• CryptoJS-imitation: I april 2025 placerades skadlig kod i npm under namnet CryptoJS, en tidigare populär krypteringsbibliotek. Koden stal kryptoplånboksdata, miljövariabler och databassöksträngar.
• Yeshen-Asia-kampanjen: En misstänkt kinesisk aktör spred över 60 skadliga npm-paket från slutet av 2024. Paket maskerade som utvecklarverktyg och skickade stulna data till infrastruktur kopplad till yeshen.asia. Ett paket laddades ner över 23 000 gånger innan det togs bort.
• Lazarus-gruppens aktivitet: Den ökända Lazarus-gruppen från Nordkorea kopplades till 107 skadliga npm- och PyPI-paket på tre månader. Dessa paket utgav sig för att vara harmlösa verktyg men exfiltrerade känslig information.

Den större bilden: ett växande hot

Ökningen av skadlig kod i öppen källkod är inte längre teoretisk – den pågår i stor skala. Utvecklare, snarare än slutanvändare, är nu främsta målet för leverantörskedjeattacker. Detta hotar hela organisationer eftersom stulna inloggningsuppgifter möjliggör molnkapningar och djupare intrång. Angreppen är ofta sofistikerade, dolda och svåra att upptäcka.

Hur utvecklare kan skydda sig

För att försvara sig mot hot i öppen källkod bör utvecklare:

• Lita på betrodda och väl underhållna bibliotek
• Övervaka beroenden för misstänkta uppdateringar
• Använda automatiserade verktyg för att skanna efter kända sårbarheter och skadlig kod
• Regelbundet byta ut inloggningsuppgifter och undvika att lagra hemligheter i koden

Säkerhet måste bli en daglig rutin, inte en eftertanke.

Slutsats

Risken för skadlig kod i öppen källkod blottlägger de dolda farorna i offentlig kod. När angriparna blir allt aggressivare måste utvecklare vara vaksamma och omvärdera hur mjukvaruleverantörskedjor hanteras. I dagens miljö räcker det inte med bara förtroende. Skydd av kod, inloggningsuppgifter och infrastruktur är avgörande för att hålla både företag och användare säkra.