Os últimos meses deixaram uma coisa clara. Os atacantes não estão mais a adivinhar. Eles estão a observar como os programadores instalam dependências e estão a usar o próprio tempo como um vetor de ataque. As versões mais recentes são onde os atacantes atacam primeiro e atacam rapidamente.
Então, atualizamos o Safe Chain para fechar essa janela.
O Safe Chain agora impõe uma idade mínima para os pacotes, retendo qualquer versão publicada nas últimas 24 horas para que possa ser analisada adequadamente antes da instalação. As versões recentes são o local mais fácil para os invasores se esconderem, portanto, essa janela dá às ferramentas de segurança tempo suficiente para analisá-las. Se uma versão for muito recente e ainda não tiver sido verificada, o Safe Chain recorre automaticamente a uma versão mais antiga e limpa. Isso não interrompe as compilações. O Safe Chain é gratuito, de código aberto e funciona localmente.
Esta alteração torna a Safe Chain a opção segura padrão para os programadores.
Por que os atacantes se concentram nas versões mais recentes
Em incidentes ocorridos em 2025, os invasores utilizaram consistentemente versões recém-publicadas como seu primeiro ponto de infeção. Esse padrão aparece em campanhas de malware, e os lançamentos recentes funcionam para os invasores porque:
- as novas versões integram-se na manutenção normal e os programadores confiam nelas
- Os sistemas CI obtêm a versão mais recente imediatamente
- Os registos, as sandboxes e as equipas de segurança precisam de tempo para analisar o novo código.
- cadeias de dependência transitivas espalham rapidamente a versão maliciosa
Esses comportamentos ficaram visíveis em incidentes reais este ano, incluindo as ondas Shai Hulud em setembro e novembro, a violação do React Native Aria, o evento backdoor do XRP, o rand-user-agent RAT e vários sequestros de tokens de mantenedores, todos iniciados com um novo lançamento.
Em todos os incidentes graves que sinalizámos este ano, as versões maliciosas apareceram como lançamentos recém-publicados antes que alguém tivesse tempo de analisá-las ou sinalizá-las.
Por que introduzimos uma idade mínima para o pacote
As versões atualizadas tornaram-se o maior ponto cego do ecossistema npm. Os invasores exploraram repetidamente essa lacuna de tempo porque funciona. O nosso pipeline de ameaças vê o mesmo padrão todas as semanas: uma nova versão maliciosa é publicada, os pipelines de CI ou as máquinas dos programadores a baixam instantaneamente e a exfiltração começa muito antes que a comunidade em geral perceba algo suspeito.
A introdução de um prazo mínimo de 24 horas dá aos defensores o tempo necessário para classificar e verificar as divulgações. Durante esse período, a Safe Chain verifica se:
- a versão é conhecida pela Aikido
- passou na verificação de malware
- está associado a um padrão de ameaça ativo ou incidente
.png)
Se a verificação estiver incompleta, o Safe Chain suprime temporariamente a versão e recorre à última versão segura. Isso já impediu a instalação do malware ativo Shai Hulud, incluindo pacotes comprometidos como o toonfetch, que permaneceu ativo no npm no momento do teste.
.gif)
A Safe Chain é a opção segura padrão para desenvolvedores
Os programadores não devem ter de acompanhar campanhas de malware ou rever manualmente todas as atualizações de dependências. As ferramentas devem tratar disso automaticamente.
O Safe Chain agora oferece uma base mais sólida sem atrapalhar o seu trabalho:
- bloqueia pacotes maliciosos antes da instalação
- suprime versões com menos de 24 horas até serem verificadas
- volta automaticamente para a última versão limpa
- funciona com npm cli, npx, yarn, pnpm, pnpx, Bun, bunx e pip
- gratuito, código aberto, sem tokens ou configuração
O Safe Chain é alimentado pelo Aikido , o nosso canal de ameaças que identifica cerca de 200 pacotes maliciosos por dia antes que eles apareçam em bases de dados públicas de vulnerabilidades. Outras ferramentas detectam malware após a instalação. O Safe Chain o bloqueia antes que ele chegue ao seu computador.
É assim que os ecossistemas de pacotes devem funcionar por padrão. A Safe Chain traz esse modelo diretamente para o fluxo de trabalho do programador.
Instale o Safe Chain hoje mesmo
A instalação da correnteAikido é fácil. Basta seguir três passos simples:
Instale o pacote Aikido Chain globalmente usando o npm:
npm install -g @aikidosec/safe-chain
Configure a integração do shell executando:
configuração da cadeia segura
❗Reinicie o seu terminal para começar a usar a Aikido Chain.
- Esta etapa é crucial, pois garante que os aliases do shell para npm, npx e yarn sejam carregados corretamente. Se não reiniciar o terminal, os aliases não estarão disponíveis.
Verifique a instalação executando:
npm instalar safe-chain-test
- A saída deve mostrar que Aikido Chain está a bloquear a instalação deste pacote, pois ele está marcado como malware. (A instalação deste pacote não apresenta riscos.)
Proteja seu software agora
.avif)
