Die letzten Monate haben eines deutlich gemacht. Angreifer raten nicht mehr. Sie beobachten, wie Entwickelnde Abhängigkeiten installieren, und nutzen das Timing selbst als Angriffsvektor. Neue Versionen sind der Ort, an dem Angreifer zuerst und schnell zuschlagen.
Deshalb haben wir Safe Chain aktualisiert, um dieses Zeitfenster zu schließen.
Safe Chain erzwingt nun ein Mindestalter für Pakete, indem es jede in den letzten 24 Stunden veröffentlichte Version zurückhält, damit sie vor der Installation ordnungsgemäß analysiert werden kann. Neue Releases sind der einfachste Ort für Angreifer, sich zu verstecken, da dieses Zeitfenster Sicherheitstools genügend Zeit zur Analyse gibt. Ist eine Version zu neu und noch nicht verifiziert, greift Safe Chain automatisch auf eine ältere, saubere Version zurück. Es unterbricht keine Builds. Safe Chain ist kostenlos, Open Source und läuft lokal.
Diese Änderung macht Safe Chain zum sicheren Standard für Entwickelnde.
Warum Angreifer sich auf neue Versionen konzentrieren
Bei Vorfällen im Jahr 2025 nutzten Angreifer konsequent neu veröffentlichte Versionen als ersten Infektionspunkt. Dieses Muster zeigt sich bei Malware-Kampagnen, und neue Releases funktionieren für Angreifer, weil:
- neue Versionen sich in die normale Wartung einfügen und Entwickelnde ihnen vertrauen
- CI-Systeme die neueste Version sofort abrufen
- Registries, Sandboxes und Sicherheitsteams Zeit benötigen, um neuen Code zu analysieren
- transitive Abhängigkeitsketten die bösartige Version schnell verbreiten
Diese Verhaltensweisen waren in diesem Jahr bei realen Vorfällen sichtbar, einschließlich der Shai Hulud-Wellen im September und November, der React Native Aria-Kompromittierung, des XRP-Backdoor-Vorfalls, des rand-user-agent RAT und mehrerer Maintainer-Token-Hijacks, die alle mit einem neuen Release begannen.
Bei jedem größeren Vorfall, den wir dieses Jahr markiert haben, erschienen die bösartigen Versionen als neu veröffentlichte Releases, bevor jemand Zeit hatte, sie zu überprüfen oder zu kennzeichnen.
Warum wir ein Mindestalter für Pakete eingeführt haben
Neue Versionen wurden zum größten blinden Fleck im npm-Ökosystem. Angreifer nutzten diese Zeitlücke wiederholt aus, weil sie funktioniert. Unsere Threat Pipeline sieht jede Woche dasselbe Muster: Eine neue bösartige Version wird veröffentlicht, CI-Pipelines oder Entwickler-Maschinen ziehen sie sofort, und die Exfiltration beginnt lange bevor die breitere Community etwas Verdächtiges bemerkt.
Die Einführung eines Mindestalters von 24 Stunden gibt Verteidigern die nötige Zeit, Releases zu klassifizieren und zu verifizieren. Während dieses Zeitraums prüft Safe Chain, ob:
- die Version Aikido Intel bekannt ist
- sie den Malware-Scan bestanden hat
- sie mit einem aktiven Bedrohungsmuster oder Vorfall verknüpft ist
.png)
Ist die Verifizierung unvollständig, unterdrückt Safe Chain die Version temporär und greift auf die letzte sichere zurück. Dies verhinderte bereits die Installationen aktiver Shai Hulud Malware, einschließlich kompromittierter Pakete wie toonfetch, die zum Zeitpunkt der Tests noch auf npm live waren.
.gif)
Safe Chain ist der sichere Standard für Entwickelnde
Entwickelnde sollten nicht Malware-Kampagnen verfolgen oder jedes Abhängigkeits-Update manuell überprüfen müssen. Tools sollten dies automatisch erledigen.
Safe Chain bietet Ihnen jetzt eine stärkere Basis, ohne Ihnen im Weg zu stehen:
- blockiert bösartige Pakete vor der Installation
- unterdrückt Versionen, die jünger als 24 Stunden sind, bis zur Verifizierung
- greift automatisch auf die letzte saubere Version zurück
- funktioniert mit npm cli, npx, yarn, pnpm, pnpx, Bun, bunx und pip
- kostenlos, Open Source, keine Tokens oder Konfiguration
Safe Chain wird von Aikido Intel betrieben, unserer Threat Pipeline, die täglich rund 200 bösartige Pakete identifiziert, bevor sie in öffentlichen Schwachstellen-Datenbanken erscheinen. Andere Tools erkennen Malware nach der Installation. Safe Chain stoppt sie, bevor sie Ihre Maschine erreicht.
So sollten Paket-Ökosysteme standardmäßig funktionieren. Safe Chain integriert dieses Modell direkt in den Entwicklungs-Workflow.
Installieren Sie Safe Chain noch heute
Die Installation der Aikido Safe Chain ist einfach. Sie benötigen nur 3 einfache Schritte:
Installieren Sie das Aikido Safe Chain Paket global mit npm:
npm install -g @aikidosec/safe-chain
Richten Sie die Shell-Integration ein, indem Sie ausführen:
safe-chain setup
❗Starten Sie Ihr Terminal neu, um die Aikido Safe Chain zu nutzen.
- Dieser Schritt ist entscheidend, da er sicherstellt, dass die Shell-Aliase für npm, npx und yarn korrekt geladen werden. Wenn Sie Ihr Terminal nicht neu starten, sind die Aliase nicht verfügbar.
Verifizieren Sie die Installation, indem Sie ausführen:
npm install safe-chain-test
- Die Ausgabe sollte zeigen, dass Aikido Safe Chain die Installation dieses Pakets blockiert, da es als Malware gekennzeichnet ist. (Die Installation dieses Pakets birgt keine Risiken)
