Hoje, estamos a lançar Aikido — o nosso feed de malware proprietário, criado para detetar e rastrear pacotes maliciosos em ecossistemas de código aberto, como o npm e, em breve, o PyPI.
A nossa equipa Aikido tem identificado vulnerabilidades de código aberto não divulgadas usando análise baseada em LLM e verificação humana. Agora, estamos a expandir a nossa pesquisa de segurança da cadeia de abastecimento para detetar e rastrear malware em pacotes de código aberto, de forma mais barata, melhor e mais rápida do que o que existe atualmente. Os resultados falam por si:
• Só em março, Aikido sinalizou 611 pacotes maliciosos , contra 156 sinalizados pelo OpenSSF (o segundo melhor feed aberto).
• O nosso tempo médio de detecção? 5 minutos.
• A média do OpenSSF? 10 dias.
Este é um salto enorme tanto em velocidade quanto em sinal — e estamos abrindo o código do feed para que o restante da comunidade também possa se beneficiar.
Por que isso importa? O código aberto é a espinha dorsal do desenvolvimento moderno — mas também é uma superfície de ataque crescente.
Desde 2019, mais de 778.500 pacotes maliciosos foram identificados em ecossistemas de código aberto — e isso está acelerando rapidamente: o volume de malware cresceu 156% somente no ano passado. 🚨
Os atacantes estão a ficar mais espertos: falsificam pacotes populares, como typosquatting, sequestram contas de mantenedores e inserem atualizações maliciosas. Mas a maioria dos feeds de malware hoje em dia está bloqueada por paywalls empresariais.
Acreditamos que os programadores merecem algo melhor. Por isso, estamos a mudar isso. Ao expandir Aikido com inteligência contra malware, as equipas de segurança e os programadores podem receber alertas antecipados sobre ameaças emergentes na cadeia de abastecimento — de forma mais rápida, abrangente e acessível.
• Dados de ameaças rápidos e de alta relevância
• Feed de código aberto, licenciado sob AGPL
• Desenvolvido para desenvolvedores e equipes de segurança, não apenas para empresas com orçamentos de 6 dígitos
Estamos começando com npm. PyPI é o próximo. GitHub Actions em breve.
Vamos tornar o código aberto mais seguro — juntos.
Descubra como nossa equipe de Inteligência descobriu um ataque norte-coreano 👀
Nosso pesquisador de segurança, Charlie, analisa um ataque recente de um grupo de hackers norte-coreano. Obtenha uma análise minuto a minuto de como descobrimos o ataque Lazarus “escondido à vista de todos”
"Em 13 de março de 2025, nosso motor de análise de malware nos alertou sobre um pacote potencialmente malicioso que foi adicionado ao NPM. As primeiras indicações sugeriam que seria um caso simples, no entanto, quando começamos a desvendar as camadas, as coisas não eram bem o que pareciam.
Esta é uma história sobre como atores estatais sofisticados podem esconder malware dentro de pacotes…. (continue lendo)
Ou assista Mackenzie detalhar o ataque Lazarus em vídeo.
Interessado em aproveitar nossa Inteligência?
1. Código aberto | O Feed é código aberto, atualizado com todas as novas ameaças:Aikido
Aikido está disponível sob licença AGPL, os programadores podem usar, modificar e distribuir livremente o feed de vulnerabilidades e malware.
2. Licencie a nossa Intel | Se quiser aproveitar Aikido - base de dados de vulnerabilidades + feed de malware - no seu próprio produto, a API está disponível para licenciamento.Entre em contacto para obter a licença aqui.
3. Proteja-se com Aikidoé gratuito | Proteja facilmente a sua cadeia de fornecimento de software e muito mais. Proteja o seu código, nuvem e tempo de execução com a plataforma de segurança tudo-em-um Aikido. Proteja-se aqui.
Proteja seu software agora
.jpg)
.avif)
