→ Kurz gesagt: Entwickelnde sind die neue Achillesferse der Software-Lieferkette. Aikido Protection schützt Geräte vor Installationsangriffen über Paket-Registerstellen, IDE-Erweiterungen, Browser-Plug-ins und Skill-Marktplätze hinweg. Entwickeln Sie ohne Bedenken.
In letzter Zeit war es ziemlich turbulent, oder?
Allein im März nutzte TeamPCP innerhalb von weniger als zehn Tagen gestohlene Zugangsdaten für vier große Open-Source-Projekte: Trivy, Checkmarx , LiteLLM und Telnyx. Wenige Tage später wurde Axios, der JavaScript-HTTP-Client mit über 100 Millionen Downloads pro Woche, durch einen gehackten Kontozugang eines Betreuers kompromittiert. Diese Woche gab Vercel bekannt, dass ein Angreifer auf interne Systeme und Umgebungsvariablen zugegriffen hatte, nachdem er vermutlich eine von einem seiner Mitarbeiter genutzte Chrome-Erweiterung kompromittiert hatte.
In letzter Zeit kommt es mir so vor, als würde das Thema Sicherheit eine endlos lange Woche dauern:
Und wenn du dich ausgeschlossen fühlst, hab noch etwas Geduld.
Innerhalb von zwölf Monaten haben wir eine Entwicklung von Kompromittierungen einzelner Pakete über sich selbst replizierende Würmer bis hin zu vollständigen Übernahmen von CI/CD-Pipelines erlebt, die sich über mehrere Registries hinweg ausbreiten. Die Angreifer lernen schneller, als wir Korrekturen bereitstellen können.
„Früher erforderte das Schreiben eines Supply-Chain-Angriffs echtes Fachwissen. Man musste sich mit Paketregistern, CI/CD-Pipelines und Verschleierungstechniken auskennen und wissen, wie man Payloads schreibt, die der Erkennung entgehen. Heute braucht man nur noch ein 8-Dollar-ChatGPT-Abonnement. Man muss nicht einmal wissen, was npm ist, um Malware zu schreiben, die sich darüber verbreitet.
Bittet man ein Modell, einen Postinstall-Hook zu schreiben, der Umgebungsvariablen exfiltriert, dann tut es das auch. Bitten Sie es, die Payload zu verschleiern, und es wird es tun. Die Angriffe sind demokratisiert worden. Die Verteidigung ist besser geworden, aber nicht im gleichen Tempo.“
Auf der anderen Seite laden KI-Codierungsagenten Pakete herunter, rufen Tools auf und fügen autonom Funktionen hinzu, wobei kaum oder gar keine menschliche Kontrolle darüber besteht, was installiert wird. Wohin führt das alles?
Der neue Endpunkt: Entwicklergeräte
All diese Angriffe haben dasselbe Ziel: das Entwicklergerät selbst. Warum?
Entwickelnde sind vertrauenswürdige Umgebungen, die den Schlüssel zum Schloss in sich tragen: Cloud-Anmeldedaten, SSH-Schlüssel, npm-Publish-Token, Kubernetes-Konfigurationen, direkten Zugriff auf den Quellcode und die Produktionsumgebung. Wird nur eines davon kompromittiert, sind die Folgen enorm. Schon ein einziges kompromittiertes Passwort reichte aus, um bösartige Versionen legitimer Pakete zu veröffentlichen, was zu Sicherheitsverletzungen in Tausenden von Unternehmen führte.
Sind Entwicklergeräte denn nicht durch bestehende Tools geschützt? Nein. Genau das ist das Problem. Die Sicherheitstools, auf die sich die meisten Unternehmen verlassen – also herkömmliche Endpoint-Sicherheit (EDR) zur Erkennung von Bedrohungen auf dem Betriebssystem und Gerätemanagement (MDM) zur Kontrolle der installierten Software –, wurden für eine Welt entwickelt, in der signierte Binärdateien und Angriffe auf das Betriebssystem die Regel waren. Und sie wurden definitiv nicht für die Entwickler von heute entwickelt.
Die Software, die heute auf Entwicklerrechnern installiert wird, besteht aus Code-Paketen, IDE-Erweiterungen, Browser-Erweiterungen, KI-Tools und MCP-Servern. Es handelt sich um unkompilierte Software im Klartext. EDR erkennt „npm install“ nicht. MDM weiß nicht, was eine MCP-Erweiterung bewirkt.
Entwickelnde sind die neue Achillesferse der Software-Lieferkette.
Der Status quo funktioniert nicht
Ohne Tools, die den Entwickler-Endpunkt abdecken, geraten die meisten Unternehmen in eine von zwei ungünstigen Situationen.
- Sie blockieren alles. Keine Installationen. Private Registries, undurchdringliche Mauern zwischen Entwicklern und dem offenen Internet. Das mag für stark regulierte Unternehmen wie Banken funktionieren, bremst aber überall sonst die Geschwindigkeit. Die Einschränkungen sind so streng, dass Entwickler um weitreichende Ausnahmegenehmigungen kämpfen oder Umgehungslösungen finden, wie zweite Laptops und deaktivierte VPNs, was das Problem noch verschlimmert.
- Sie lassen es zu und hoffen das Beste. Da es keine wirksame Methode gibt, um zu kontrollieren, was Entwickler installieren, hoffen sie, dass nichts schiefgeht, und verlassen sich dabei auf regelmäßig wechselnde secrets Richtlinien für minimalen Zugriff. So arbeiten die meisten Unternehmen.
Oder sie kombinieren beides und führen zusätzlich eine manuelle Einzelfallprüfung durch. Das ist (offensichtlich) nicht skalierbar. Keine dieser Methoden funktioniert.
„In der Geschäftswelt hat die Produktivität der Entwickler oberste Priorität, und in der Regel gelten für diese Rechner weitreichende Ausnahmen von den üblichen Sicherheitskontrollen, was zu massiven Sicherheitslücken in Unternehmen führt … oder es lohnt sich einfach nicht, den Aufwand zu betreiben, um potenzielle Sicherheitslücken zu verhindern, insbesondere angesichts der Gegenreaktion der Entwickler, die unweigerlich folgen würde.“ (James Berthoty)
Unternehmen können es sich nicht leisten, die Entwicklung zu verlangsamen, und sie können es sich auch nicht mehr leisten, ihre Systeme ungeschützt zu lassen. Deshalb haben wir Aikido Protection entwickelt.
Wir stellen Ihnen Aikido Protection vor
Aikido Protection ist die Sicherheitsschicht, die auf den Entwicklergeräten installiert ist und Ihnen Transparenz, Kontrolle und Schutz hinsichtlich der auf den Arbeitsplätzen Ihrer Entwickler installierten Programme bietet.
Mit Aikido Protection können Teams:
- Verschaffen Sie sich einen vollständigen Überblick über Ihre Software-Lieferkette: Sehen Sie sich jede Browser-Erweiterung, Code-Bibliothek, jedes IDE-Plugin und jede Build-Abhängigkeit an , die auf den Geräten Ihres Teams installiert ist.
- Malware stoppen, bevor sie installiert wird: Aikido erkenntAikido schädliche Pakete und Installationen und blockiert sie, bevor sie das Gerät erreichen
- Mindestalter für Pakete durchsetzen: Legen Sie eigene Anforderungen an die Reife von Paketen vor deren Verwendung fest, um Risikofenster zu minimieren
- Bestimmte Ökosysteme sperren: Blockieren Sie alle Installationen aus allen Ökosystemen und Marktplätzen, wenn Ihr Team diese nicht benötigt.
- Genehmigungspflicht für neue Software: Ermöglichen Sie Teammitgliedern, Installationen zu beantragen, während Administratoren weiterhin die Kontrolle darüber behalten, was genehmigt wird, und legen Sie Teamrichtlinien, Ausnahmen und Arbeitsabläufe fest.
In der Praxis sieht das so aus:
Ein Entwickler installiert eine VS-Code-Erweiterung, die seriös wirkt, wie angekündigt funktioniert und beim Start unbemerkt einen Fernzugriffstrojaner installiert. Die Endpunktüberwachung gleicht sie mit dem Bedrohungsfeed Aikido ab und blockiert sie, bevor sie aktiv wird. Genau das haben wir im Januar bei einer gefälschten Clawdbot-Erweiterung festgestellt.
Ein Entwickler führt den Befehl „npm i axios“ aus, wodurch versucht wird, die neueste Version abzurufen. Diese Version wurde vor einer Stunde veröffentlicht. Der Endpunkt greift auf die aktuellste Version zurück, die die Richtlinie eines Mindestalters von 48 Stunden erfüllt. Bei dem Axios-Angriff wurde die bösartige Dropper-Abhängigkeit weniger als 24 Stunden vor dem Abruf der kompromittierten Versionen vorab bereitgestellt. Allein die Altersprüfung hätte die Infektion verhindert.
Bei all unseren Produkten bleiben wir unserem Ziel treu, Entwicklern wieder mehr Zeit zum Programmieren zu geben. Für Entwickler ist Aikido Protection so konzipiert, dass es im Hintergrund verschwindet. Programmieren Sie mit voller Freiheit. Sichere Installationen laufen ohne Unterbrechung ab. Wenn etwas bösartig ist, wird es blockiert, bevor es den Rechner erreicht. Wenn Sie vergessen, dass es läuft, ist das genau der Sinn der Sache. [...Fügen Sie hier eine abgedroschene Metapher darüber ein, wie froh Sie sind, einen Helm zu tragen, wenn Sie in einen Unfall verwickelt werden]
Für Sicherheitsteams wurde Aikido Protection entwickelt, um Ihnen Transparenz und Kontrolle zu bieten, ohne die Entwicklung zu verlangsamen. Legen Sie eigene Teamrichtlinien fest , erstellen Sie Whitelists für vertrauenswürdige Tools, richten Sie Workflows für Anträge und Genehmigungen ein, erhalten Sie einen vollständigen Prüfpfad und gewinnen Sie Einblick in alle Entwicklergeräte im Unternehmen. Die Bereitstellung erfolgt ganz einfach über Ihr bestehendes MDM.
Auf offener Basis aufgebaut
Im vergangenen Jahr haben wir Safe Chain veröffentlicht, einen Open-Source-Proxyserver, der die Befehlszeilenschnittstelle (CLI) umschließt, schädliche Pakete vor der Installation blockiert und ein Mindestalter von 48 Stunden für Pakete vorschreibt. Mit über 200.000 Downloads pro Woche bietet Safe Chain sowohl einzelnen Entwicklern als auch Unternehmensteams Schutz. Wenn Sie Safe Chain eingesetzt haben, wurden die Angriffe Shai-Hulud, TeamPCP und Axios abgewehrt.
„Safe Chain“ ist das Starterpaket. Wir werden weiterhin in das Projekt investieren. Es wird Open Source bleiben. „Endpoint“ ist die Weiterentwicklung mit erweiterten Funktionen, einfacher Bereitstellung, Governance-Kontrollen und einem zentralen Dashboard.
Sowohl Safe Chain als auch Endpoint basieren auf Aikido , unserer LLM-basierten Bedrohungsaufklärung . Aikido überwacht das offene Internet und deckt Malware sowie noch nicht in der CVE-Datenbank erfasste Schwachstellen in Open-Source-Ökosystemen auf, sobald diese entdeckt werden. Speziell im Hinblick auf Malware analysiert Aikido mittlerweile täglich mehr als 100.000 verdächtige Projekte – gegenüber 20.000 im Vorjahr – und identifiziert Malware innerhalb weniger Minuten nach ihrer Veröffentlichung.
Aikido wird von einem engagierten Team aus Sicherheitsforschern und KI-Ingenieuren unterstützt. Wir veröffentlichen alle Erkenntnisse zu Bedrohungen automatisch, sodass Aikido Ihre früheste Warnung vor Bedrohungen in der Lieferkette darstellt. Kostenlos. Offen. → https://intel.aikido.dev/
Los geht’s (ja, es gibt eine kostenlose Version)
Aikido Protection ist in allen Tarifen enthalten. Der Schutz für npm und PyPI ist kostenlos inbegriffen .
Für benutzerdefinierte Richtlinien, Genehmigungsworkflows, die Überwachung von VS Code-Erweiterungen, die Überwachung von Browser-Plugins und weitere Ökosysteme fällt ein zusätzliches Abonnement pro Gerät an.
Um zu erfahren, wie Endpoint Ihre Entwickler schützen kann, vereinbaren Sie eine Demo, starten Sie kostenlos oder nehmen Sie an unserer Live-Demo diesen Donnerstag um 9 Uhr PT teil.
Baue ohne Angst
Dieses Jahr war hart, oder wie Charlie es poetisch (wenn auch düster) ausdrückt: „Im Moment sind unsere Lieferketten gar keine Ketten. Es sind lose Fäden, und sie lösen sich auf.“
Endpoint hilft dabei, diese losen Enden zu verknüpfen. Ermitteln Sie Ihre Risiken. Beugen Sie Angriffen vor. Und vor allem: Ermöglichen Sie Entwicklern, ohne Unterbrechungen zu arbeiten … und ohne Angst.
- Madeline, Aikido
P.S. Auch wenn „build fearlessly“ gefährlich nah an einem bestickten Sofakissen mit der Aufschrift „Live, laugh, love“ liegt, das ich sofort verbrennen würde … es funktioniert. Es ist knackig.
Ich habe freien Willen und Entscheidungsgewalt. Heute nutze ich beides. Slogan = festgelegt.
