Darren Meyer, Safety Analysis Advocate bei Checkmarx, beobachtet regelmäßig viele Angriffe auf Entwickler, die er als “Low Effort” einstuft – etwa schadhafte Versionen beliebter Open-Supply-Utilities, die auf Typosquatting-Domains gehostet werden. Diese “Spray and Pray”-Bemühungen stellten aber nur eine Seite der Medaille dar, warnt Meyer: “Es finden auch deutlich gezieltere Attacken statt, wie etwa der Shai-Hulud-Wurm, Angriffe auf npm-Packages oder das Plugin-Ökosystem von Visible Studio Code eindrücklich belegen.”
Die Einschätzung des Checkmarx-Experten spiegelt sich auch im aktuellen Sonatype-Report “2026 State of the Software program Provide Chain 2026” (Obtain gegen Daten) wider. Der Spezialist für Lieferkettensicherheit hat seit 2019 insgesamt 1,23 Millionen quelloffene Packages identifiziert, die mit Malware verseucht waren. Allein im Jahr 2025 registrierte Sonatype 454.000 neue Exemplare, die in diese Kategorie fallen.
Und damit nicht genug: “In der Praxis wird Vulnerability Publicity in weiten Teilen nicht durch neue Schwachstellen getrieben, sondern durch bereits bekannte”, schreiben die Sicherheitsexperten in ihrem Bericht. Demnach haben Developer im Jahr 2025 mehr als 42 Millionen mal anfällige Versionen der Logging-Utility Log4j heruntergeladen. Mit Blick auf alle Log4j-Downloads entspricht das einem Anteil von 13 Prozent.
