Die letzten Monate haben eines deutlich gemacht: Angreifer raten nicht mehr. Sie beobachten, wie Entwickler Abhängigkeiten installieren, und nutzen das Timing selbst als Angriffsvektor. Angreifer schlagen zuerst bei neuen Versionen zu, und sie schlagen schnell zu.
Deshalb haben wir Safe Chain aktualisiert, um diese Lücke zu schließen.
Safe Chain erzwingt nun ein Mindestalter für Pakete und hält alle Versionen zurück, die in den letzten 24 Stunden veröffentlicht wurden, damit sie vor der Installation ordnungsgemäß analysiert werden können. Neue Releases sind für Angreifer der einfachste Ort, um sich zu verstecken, daher gibt dieses Zeitfenster den Sicherheitstools genügend Zeit, sie zu analysieren. Wenn eine Version zu neu und noch nicht verifiziert ist, greift Safe Chain automatisch auf eine ältere, saubere Version zurück. Dies beeinträchtigt die Builds nicht. Safe Chain ist kostenlos, Open Source und läuft lokal.
Durch diese Änderung wird Safe Chain zur sicheren Standardeinstellung für Entwickler.
Warum Angreifer sich auf neue Versionen konzentrieren
Bei allen Vorfällen im Jahr 2025 nutzten Angreifer durchweg neu veröffentlichte Versionen als ersten Infektionspunkt. Dieses Muster zeigt sich bei allen Malware-Kampagnen, und neue Versionen sind für Angreifer aus folgenden Gründen interessant:
- Neue Versionen fügen sich nahtlos in die normale Wartung ein und die Entwickler vertrauen ihnen.
- CI-Systeme laden sofort die neueste Version herunter.
- Registries, Sandboxes und Sicherheitsteams benötigen Zeit, um neuen Code zu analysieren.
- Transitive Abhängigkeitsketten verbreiten die bösartige Version schnell.
Diese Verhaltensweisen zeigten sich in realen Vorfällen in diesem Jahr, darunter die Shai-Hulud-Wellen im September und November, die React-Native-Aria-Kompromittierung, das XRP-Backdoor-Ereignis, der Rand-User-Agent-RAT und mehrere Maintainer-Token-Hijacks, die alle mit einer neuen Version begannen.
Bei jedem größeren Vorfall, den wir in diesem Jahr gemeldet haben, tauchten die bösartigen Versionen als neu veröffentlichte Releases auf, bevor jemand Zeit hatte, sie zu überprüfen oder zu melden.
Warum wir ein Mindestalter für Pakete eingeführt haben
Neue Versionen wurden zum größten Schwachpunkt im npm-Ökosystem. Angreifer nutzten diese zeitliche Lücke wiederholt aus, weil es funktioniert. Unsere Bedrohungs-Pipeline zeigt jede Woche das gleiche Muster: Eine neue bösartige Version wird veröffentlicht, CI-Pipelines oder Entwicklerrechner laden sie sofort herunter, und die Datenexfiltration beginnt, lange bevor die breitere Community etwas Verdächtiges bemerkt.
Die Einführung einer Mindestalter von 24 Stunden gibt Verteidigern die Zeit, die sie benötigen, um Freigaben zu klassifizieren und zu überprüfen. Während dieses Zeitraums überprüft Safe Chain, ob:
- Die Version ist Aikido bekannt.
- Es hat die Malware-Prüfung bestanden.
- es steht in Zusammenhang mit einem aktiven Bedrohungsmuster oder Vorfall
.png)
Wenn die Überprüfung unvollständig ist, unterdrückt Safe Chain die Version vorübergehend und greift auf die letzte sichere Version zurück. Dadurch wurde bereits die Installation der aktiven Shai-Hulud-Malware verhindert, einschließlich kompromittierter Pakete wie toonfetch, die zum Zeitpunkt des Tests noch auf npm verfügbar waren.
.gif)
Safe Chain ist die sichere Standardeinstellung für Entwickler.
Entwickler sollten nicht Malware-Kampagnen verfolgen oder jedes Abhängigkeitsupdate manuell überprüfen müssen. Das sollte automatisch von Tools übernommen werden.
Safe Chain bietet Ihnen jetzt eine stärkere Basis, ohne Ihnen im Weg zu stehen:
- Blockiert schädliche Pakete vor der Installation
- unterdrückt Versionen, die weniger als 24 Stunden alt sind, bis sie verifiziert sind
- fällt automatisch auf die letzte saubere Version zurück
- Funktioniert mit npm cli, npx, yarn, pnpm, pnpx, Bun, bunx und pip
- kostenlos, Open Source, keine Tokens oder Konfiguration
Safe Chain wird von Aikido unterstützt, unserer Bedrohungs-Pipeline, die täglich rund 200 bösartige Pakete identifiziert, bevor sie in öffentlichen Schwachstellen-Datenbanken erscheinen. Andere Tools erkennen Malware erst nach der Installation. Safe Chain stoppt sie, bevor sie Ihren Computer erreicht.
So sollten Paket-Ökosysteme standardmäßig funktionieren. Safe Chain integriert dieses Modell direkt in den Arbeitsablauf der Entwickler.
Installieren Sie noch heute Safe Chain
Die Installation der Aikido Chain ist ganz einfach. Sie müssen nur drei einfache Schritte befolgen:
Installieren Sie das Aikido Chain-Paket global mit npm:
npm install -g @aikidosec/safe-chain
Richten Sie die Shell-Integration ein, indem Sie Folgendes ausführen:
Sichere Kettenkonfiguration
❗Starten Sie Ihr Terminal neu, um die Aikido Chain zu verwenden.
- Dieser Schritt ist entscheidend, da er sicherstellt, dass die Shell-Aliase für npm, npx und yarn korrekt geladen werden. Wenn Sie Ihr Terminal nicht neu starten, sind die Aliase nicht verfügbar.
Überprüfen Sie die Installation, indem Sie Folgendes ausführen:
npm install safe-chain-test
- Die Ausgabe sollte zeigen, dass Aikido Chain die Installation dieses Pakets blockiert, da es als Malware gekennzeichnet ist. (Die Installation dieses Pakets birgt keinerlei Risiken.)
Sichern Sie Ihre Software jetzt.
.avif)
