Les derniers mois ont mis quelque chose en évidence. Les attaquants ne procèdent plus par tâtonnements. Ils observent comment les développeurs installent les dépendances et utilisent le timing lui-même comme vecteur d'attaque. Les versions récentes sont les premières cibles des attaquants, et ils frappent vite.
Nous avons donc mis à niveau Safe Chain pour combler cette lacune.
Safe Chain impose désormais un âge minimal pour les packages, retenant toute version publiée au cours des dernières 24 heures afin qu'elle puisse être correctement analysée avant l'installation. Les nouvelles versions sont l'endroit le plus facile pour les attaquants pour se cacher, donc cette fenêtre donne aux outils de sécurité suffisamment de temps pour les analyser. Si une version est trop récente et pas encore vérifiée, Safe Chain revient automatiquement à une version propre plus ancienne. Cela ne rompt pas les builds. Safe Chain est gratuit, open source et s'exécute localement.
Ce changement fait de Safe Chain le choix par défaut sûr pour les développeurs.
Pourquoi les attaquants se concentrent sur les versions récentes
Au cours des incidents de 2025, les attaquants ont systématiquement utilisé les versions nouvellement publiées comme premier point d'infection. Ce schéma se retrouve dans les campagnes de logiciels malveillants, et les nouvelles versions fonctionnent pour les attaquants car :
- les nouvelles versions se fondent dans la maintenance normale et les développeurs leur font confiance
- les systèmes CI tirent la dernière version immédiatement
- les registres, les sandboxes et les équipes de sécurité ont besoin de temps pour analyser le nouveau code
- les chaînes de dépendances transitives propagent rapidement la version malveillante
Ces comportements ont été visibles lors d'incidents réels cette année, notamment les vagues Shai Hulud en septembre et novembre, la compromission de React Native Aria, l'événement de backdoor XRP, le RAT rand-user-agent et de multiples détournements de jetons de mainteneur, tous ayant commencé par une nouvelle version.
Dans chaque incident majeur que nous avons signalé cette année, les versions malveillantes sont apparues comme des publications récentes avant que quiconque n'ait eu le temps de les examiner ou de les signaler.
Pourquoi nous avons introduit un âge minimal pour les packages
Les versions récentes sont devenues le plus grand angle mort de l'écosystème npm. Les attaquants ont exploité à plusieurs reprises cette faille temporelle parce qu'elle fonctionne. Notre pipeline de menaces observe le même schéma chaque semaine : une nouvelle version malveillante est publiée, les pipelines CI ou les machines des développeurs la récupèrent instantanément, et l'exfiltration commence bien avant que la communauté au sens large ne remarque quoi que ce soit de suspect.
L'introduction d'un âge minimal de 24 heures donne aux défenseurs le temps nécessaire pour classer et vérifier les versions. Pendant cette période, Safe Chain vérifie si :
- la version est connue d'Aikido Intel
- il a passé le scan de malwares
- il est lié à un modèle de menace ou un incident actif
.png)
Si la vérification est incomplète, Safe Chain supprime temporairement la version et revient à la dernière version sûre. Cela a déjà empêché l'installation de malwares Shai Hulud actifs, y compris des packages compromis tels que toonfetch, qui étaient encore actifs sur npm au moment des tests.
.gif)
Safe Chain est le comportement par défaut sécurisé pour les développeurs
Les développeurs ne devraient pas avoir à suivre les campagnes de malwares ni à examiner manuellement chaque mise à jour de dépendance. Les outils devraient gérer cela automatiquement.
Safe Chain vous offre désormais une base de référence plus solide sans vous gêner :
- bloque les packages malveillants avant l'installation
- supprime les versions de moins de 24 heures jusqu'à vérification
- revient automatiquement à la dernière version propre
- fonctionne avec npm cli, npx, yarn, pnpm, pnpx, Bun, bunx et pip
- gratuit, open source, sans tokens ni configuration
Safe Chain est alimenté par Aikido Intel, notre pipeline de menaces qui identifie environ 200 packages malveillants par jour avant qu'ils n'apparaissent dans les bases de données de vulnérabilités publiques. D'autres outils détectent les malwares après l'installation. Safe Chain l'arrête avant qu'il n'atteigne votre machine.
C'est ainsi que les écosystèmes de packages devraient fonctionner par défaut. Safe Chain intègre ce modèle directement dans le flux de travail des développeurs.
Installez Safe Chain dès aujourd'hui
L'installation de l'Aikido Safe Chain est facile. Il vous suffit de 3 étapes simples :
Installez le package Aikido Safe Chain globalement en utilisant npm :
npm install -g @aikidosec/safe-chain
Configurez l'intégration du shell en exécutant :
safe-chain setup
❗Redémarrez votre terminal pour commencer à utiliser l'Aikido Safe Chain.
- Cette étape est cruciale car elle garantit que les alias de shell pour npm, npx et yarn sont chargés correctement. Si vous ne redémarrez pas votre terminal, les alias ne seront pas disponibles.
Vérifiez l'installation en exécutant :
npm install safe-chain-test
- La sortie devrait indiquer que Aikido Safe Chain bloque l'installation de ce package car il est signalé comme malware. (L'installation de ce package ne présente aucun risque)
