Os últimos meses deixaram algo claro. Os atacantes não estão mais adivinhando. Eles estão observando como os desenvolvedores instalam dependências e estão usando o próprio tempo como vetor de ataque. Versões recentes são onde os atacantes atacam primeiro e atacam rápido.
Então atualizamos o Safe Chain para fechar essa janela.
O Safe Chain agora impõe uma idade mínima para pacotes, retendo qualquer versão publicada nas últimas 24 horas para que possa ser analisada adequadamente antes da instalação. Lançamentos recentes são o lugar mais fácil para os atacantes se esconderem, então essa janela dá às ferramentas de segurança tempo suficiente para analisá-los. Se uma versão é muito nova e ainda não verificada, o Safe Chain automaticamente reverte para uma versão limpa mais antiga. Ele não quebra builds. O Safe Chain é gratuito, de código aberto e executa localmente.
Essa mudança torna o Safe Chain o padrão seguro para desenvolvedores.
Por que os atacantes focam em versões recentes
Em incidentes ao longo de 2025, invasores consistentemente usaram versões recém-publicadas como seu primeiro ponto de infecção. Esse padrão aparece em campanhas de malware, e novos lançamentos funcionam para os invasores porque:
- novas versões se misturam à manutenção normal e desenvolvedores confiam nelas
- sistemas de CI baixam a versão mais recente imediatamente
- registries, sandboxes e equipes de segurança precisam de tempo para analisar o novo código
- cadeias de dependência transitiva espalham a versão maliciosa rapidamente
Esses comportamentos foram visíveis em incidentes reais este ano, incluindo as ondas Shai Hulud em setembro e novembro, o comprometimento do React Native Aria, o evento de backdoor do XRP, o RAT rand-user-agent e múltiplos sequestros de maintainer-token que todos começaram com um novo lançamento.
Em cada incidente importante que sinalizamos este ano, as versões maliciosas apareceram como lançamentos recém-publicados antes que alguém tivesse tempo de revisá-los ou sinalizá-los.
Por que introduzimos uma idade mínima para pacotes
Novas versões se tornaram o maior ponto cego no ecossistema npm. Invasores exploraram repetidamente essa lacuna de tempo porque funciona. Nosso pipeline de ameaças vê o mesmo padrão toda semana: uma nova versão maliciosa é publicada, pipelines de CI ou máquinas de desenvolvedores a baixam instantaneamente, e a exfiltração começa muito antes que a comunidade em geral perceba algo suspeito.
A introdução de uma idade mínima de 24 horas dá aos defensores o tempo necessário para classificar e verificar lançamentos. Durante esse período, o Safe Chain verifica se:
- a versão é conhecida pelo Aikido Intel
- passou pela varredura de malware
- está ligada a um padrão de ameaça ativo ou incidente
.png)
Se a verificação estiver incompleta, o Safe Chain suprime a versão temporariamente e reverte para a última versão segura. Isso já impediu instalações de malware Shai Hulud ativo, incluindo pacotes comprometidos como toonfetch, que permaneceu ativo no npm no momento do teste.
.gif)
Safe Chain é o padrão seguro para desenvolvedores
Desenvolvedores não deveriam ter que rastrear campanhas de malware ou revisar manualmente cada atualização de dependência. As ferramentas deveriam lidar com isso automaticamente.
O Safe Chain agora oferece uma linha de base mais robusta, sem atrapalhar:
- bloqueia pacotes maliciosos antes da instalação
- suprime versões com menos de 24 horas até serem verificadas
- reverte para a última versão limpa automaticamente
- funciona com npm cli, npx, yarn, pnpm, pnpx, Bun, bunx e pip
- gratuito, código aberto, sem tokens ou configuração
O Safe Chain é alimentado pelo Aikido Intel, nosso pipeline de ameaças que identifica cerca de 200 pacotes maliciosos por dia antes que apareçam em bancos de dados públicos de vulnerabilidades. Outras ferramentas detectam malware após a instalação. O Safe Chain o impede antes que chegue à sua máquina.
É assim que os ecossistemas de pacotes deveriam funcionar por padrão. O Safe Chain traz esse modelo diretamente para o fluxo de trabalho do desenvolvedor.
Instale o Safe Chain Hoje
Instalar o Aikido Safe Chain é fácil. Você só precisa de 3 passos simples:
Instale o pacote Aikido Safe Chain globalmente usando npm:
npm install -g @aikidosec/safe-chain
Configure a integração do shell executando:
safe-chain setup
❗Reinicie seu terminal para começar a usar o Aikido Safe Chain.
- Este passo é crucial, pois garante que os aliases do shell para npm, npx e yarn sejam carregados corretamente. Se você não reiniciar seu terminal, os aliases não estarão disponíveis.
Verifique a instalação executando:
npm install safe-chain-test
- A saída deve mostrar que o Aikido Safe Chain está bloqueando a instalação deste pacote, pois ele é sinalizado como malware. (A instalação deste pacote não apresenta riscos)
