كشفت كاسبرسكي عن ارتفاع عدد الحزم الخبيثة المكتشفة في المشاريع البرمجية مفتوحة المصدر إلى نحو 19,500 حزمة مع نهاية عام 2025، مسجلة نمواً بنسبة 37% مقارنة بنهاية عام 2024، وفقاً لبيانات القياس عن بُعد الصادرة عن الشركة.

وأوضحت الشركة أن تطوير البرمجيات الحديثة يعتمد بصورة متزايدة على المكونات مفتوحة المصدر، الأمر الذي يرفع احتمالات تعرض المنتجات البرمجية لهجمات سلسلة التوريد عبر تضمين مكونات خبيثة داخل الحزم البرمجية.

وأشارت دراسة عالمية أجرتها الشركة إلى أن هجمات سلاسل التوريد تصدرت قائمة أكثر التهديدات السيبرانية شيوعاً التي واجهت المؤسسات خلال العام الماضي.

وسلطت الشركة الضوء على عدد من الحوادث البارزة المرتبطة بهذا النوع من الهجمات، من بينها اختراق الموقع الرسمي لأداتي CPU-Z وHWMonitor في أبريل 2026، حيث جرى استبدال برامج التثبيت الأصلية بنسخ مصابة ببرمجيات خبيثة، ما أدى إلى تسجيل أكثر من 150 حالة اختراق في عدة دول.

كما شهد مارس 2026 اختراق مكتبة Axios المستخدمة على نطاق واسع، عبر نشر إصدارات تضمنت تبعية وهمية قامت بتثبيت برمجيات خبيثة على أنظمة تشغيل متعددة.

وفي فبراير 2026، تعرض محرر النصوص مفتوح المصدر Notepad++ لاختراق في بنيته التحتية، استهدف جهات حكومية ومؤسسات مالية وتقنية في عدة دول.

وأكد ديمتري غالوف أن نحو 31% من المؤسسات تأثرت بهجمات سلسلة التوريد خلال الأشهر الاثني عشر الماضية، مشيراً إلى أن مشاريع المصدر المفتوح لا تعد بالضرورة أقل أماناً من الأنظمة المغلقة، في ظل الدور الفاعل لمجتمعات المطورين في اكتشاف الثغرات ومعالجتها.

وأضاف أن الحد من المخاطر يتطلب استخدام حلول أمنية متقدمة وأدوات تحليل آلي للنصوص البرمجية، إلى جانب تعزيز عمليات المراقبة والاستجابة السريعة للحوادث السيبرانية.

وأوصت الشركة باستخدام حلول متخصصة لمراقبة مكونات البرمجيات مفتوحة المصدر، وتعزيز أنظمة الكشف والاستجابة الموسعة، إلى جانب تطوير خطط متكاملة للاستجابة للحوادث وتعزيز التعاون الأمني بين المؤسسات والموردين.