Hoje, estamos a lançar o Aikido Malware - o nosso feed de malware proprietário criado para detetar e rastrear pacotes maliciosos em ecossistemas de código aberto como o npm e, em breve, o PyPI.
A nossa equipa Aikido Intel tem vindo a identificar vulnerabilidades de código aberto não reveladas utilizando análise orientada por LLM e verificação humana. Agora, estamos a expandir a nossa pesquisa de segurança da cadeia de fornecimento para detetar e rastrear malware em pacotes de código aberto, mais barato, melhor e mais rápido do que o que existe atualmente. Os resultados falam por si -
- Só em março, o Aikido Malware sinalizou 611 pacotes maliciosos contra 156 sinalizados pelo OpenSSF (o próximo melhor feed aberto).
- O nosso tempo médio de deteção? 5 minutos.
- A mediana do OpenSSF? 10 dias.
Trata-se de um salto enorme, tanto em termos de velocidade como de sinal - eestamos a abrir o feed para que o resto da comunidade possa beneficiar.
Porque é que isto é importante? O código aberto é a espinha dorsal do desenvolvimento moderno - mas é também uma superfície de ataque crescente.
Desde 2019, mais de 778.500 pacotes maliciosos foram identificados em ecossistemas de código aberto - e está a acelerar rapidamente: o volume de malware cresceu 156% só no ano passado. 🚨
Os atacantes estão ficando mais espertos: personificando pacotes populares como typosquatting, sequestrando contas de mantenedores e introduzindo atualizações maliciosas. Mas a maioria dos feeds de malware hoje em dia estão trancados atrás de paywalls empresariais.
Achamos que os programadores merecem melhor. Por isso, estamos a mudar isso. Ao expandir o Aikido Intel com informações sobre malware, as equipas de segurança e os programadores podem receber avisos precoces sobre ameaças emergentes à cadeia de fornecimento - de forma mais rápida, mais abrangente e acessível.
- Dados de ameaças rápidos e de alto sinal
- Feed de código aberto, licenciado pela AGPL
- Criado para programadores e equipas de segurança, não apenas para empresas com orçamentos de 6 dígitos
Estamos a começar com o npm. O PyPI é o próximo. Ações do GitHub em breve.
Vamos tornar o código aberto mais seguro - juntos.
Saiba como a nossa equipa Intel descobriu um ataque norte-coreano 👀
O nosso investigador de segurança, Charlie, disseca um recente ataque de um grupo de piratas informáticos norte-coreano. Obtenha uma análise minuto a minuto de como descobrimos o ataque Lazarus "escondido à vista de todos"
"A 13 de março de 2025, o nosso motor de análise de malware alertou-nos para um potencial pacote malicioso que foi adicionado ao NPM. As primeiras indicações sugeriam que este seria um caso claro, no entanto, quando começámos a descascar as camadas, as coisas não eram bem como pareciam.
Aqui está uma história sobre como os actores sofisticados de um Estado-nação podem esconder malware dentro de pacotes.... (ler em)
Ou vê a Mackenzie a analisar o ataque de Lazarus em vídeo.
Interessado em tirar partido da nossa Intel?
1.Código aberto | O feed é de código aberto, atualizado com todas as novas ameaças: https://intel.aikido.dev/
Aikido Intel está disponível sob licença AGPL, os programadores podem utilizar, modificar e distribuir livremente o feed de vulnerabilidades e malware.
2. Licenciar a nossa Intel | Se pretender utilizar a Aikido Intel - base de dados de vulnerabilidades + feed de malware - no seu próprio produto, a API está disponível para licenciamento. Entre em contacto para licenciar aqui.
3. Proteja-se com o Aikido- its free | Proteja facilmente a sua cadeia de fornecimento de software, e muito mais. Proteja o seu código, nuvem e tempo de execução com a plataforma de segurança tudo-em-um do Aikido. Proteja-se aqui.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)