Les derniers mois ont mis en évidence une chose : les pirates ne font plus de suppositions. Ils observent comment les développeurs installent les dépendances et utilisent le timing comme vecteur d'attaque. Les nouvelles versions sont les premières cibles des pirates, qui frappent rapidement.
Nous avons donc mis à niveau Safe Chain pour fermer cette fenêtre.
Safe Chain impose désormais un âge minimum pour les paquets, en conservant toute version publiée au cours des dernières 24 heures afin qu'elle puisse être analysée correctement avant son installation. Les nouvelles versions sont l'endroit le plus facile pour les pirates de se cacher, cette fenêtre donne donc aux outils de sécurité suffisamment de temps pour les analyser. Si une version est trop récente et n'a pas encore été vérifiée, Safe Chain revient automatiquement à une version antérieure propre. Cela n'interrompt pas les compilations. Safe Chain est gratuit, open source et fonctionne localement.
Ce changement fait de Safe Chain le choix sécurisé par défaut pour les développeurs.
Pourquoi les pirates informatiques s'intéressent-ils aux nouvelles versions ?
Dans tous les incidents survenus en 2025, les pirates ont systématiquement utilisé les versions nouvellement publiées comme premier point d'infection. Ce schéma se retrouve dans toutes les campagnes de logiciels malveillants, et les nouvelles versions sont efficaces pour les pirates pour les raisons suivantes :
- Les nouvelles versions s'intègrent dans la maintenance normale et les développeurs leur font confiance.
- Les systèmes CI récupèrent immédiatement la dernière version.
- Les registres, les sandbox et les équipes de sécurité ont besoin de temps pour analyser le nouveau code.
- les chaînes de dépendance transitives propagent rapidement la version malveillante
Ces comportements ont été observés dans des incidents réels cette année, notamment les vagues Shai Hulud en septembre et novembre, la compromission de React Native Aria, l'événement XRP backdoor, le RAT rand-user-agent et plusieurs détournements de jetons de maintenance, qui ont tous commencé avec une nouvelle version.
Dans tous les incidents majeurs que nous avons signalés cette année, les versions malveillantes sont apparues comme de nouvelles publications avant que quiconque ait eu le temps de les examiner ou de les signaler.
Pourquoi nous avons introduit un âge minimum pour les forfaits
Les nouvelles versions sont devenues le plus grand point faible de l'écosystème npm. Les pirates ont exploité à plusieurs reprises cette faille temporelle, car elle fonctionne. Notre pipeline de menaces observe chaque semaine le même schéma : une nouvelle version malveillante est publiée, les pipelines CI ou les machines des développeurs la téléchargent instantanément, et l'exfiltration commence bien avant que la communauté au sens large ne remarque quoi que ce soit de suspect.
L'introduction d'un délai minimum de 24 heures donne aux défenseurs le temps nécessaire pour classer et vérifier les publications. Pendant cette période, Safe Chain vérifie si :
- la version est connue d'Aikido
- il a passé le scan anti-malware
- il est lié à un modèle de menace actif ou à un incident
.png)
Si la vérification est incomplète, Safe Chain supprime temporairement la version et revient à la dernière version sécurisée. Cela a déjà empêché l'installation de logiciels malveillants Shai Hulud actifs, y compris des paquets compromis tels que toonfetch, qui étaient toujours disponibles sur npm au moment du test.
.gif)
Safe Chain est la solution sécurisée par défaut pour les développeurs.
Les développeurs ne devraient pas avoir à suivre les campagnes de logiciels malveillants ni à examiner manuellement chaque mise à jour de dépendance. Les outils devraient gérer cela automatiquement.
Safe Chain vous offre désormais une base plus solide tout en restant discret :
- bloque les paquets malveillants avant leur installation
- supprime les versions datant de moins de 24 heures jusqu'à leur vérification
- revient automatiquement à la dernière version propre
- fonctionne avec npm cli, npx, yarn, pnpm, pnpx, Bun, bunx et pip
- gratuit, open source, sans jetons ni configuration
Safe Chain est alimenté par Aikido , notre pipeline de menaces qui identifie environ 200 paquets malveillants par jour avant qu'ils n'apparaissent dans les bases de données publiques sur les vulnérabilités. D'autres outils détectent les logiciels malveillants après leur installation. Safe Chain les bloque avant qu'ils n'atteignent votre machine.
C'est ainsi que les écosystèmes de paquets devraient fonctionner par défaut. Safe Chain intègre directement ce modèle dans le flux de travail des développeurs.
Installez Safe Chain dès aujourd'hui
L'installation de la chaîneAikido est facile. Il suffit de suivre 3 étapes simples :
Installez le package Aikido Chain globalement à l'aide de npm :
npm install -g @aikidosec/safe-chain
Configurez l'intégration du shell en exécutant :
configuration de la chaîne de sécurité
❗Redémarrez votre terminal pour commencer à utiliser la chaîne Aikido .
- Cette étape est cruciale car elle garantit que les alias shell pour npm, npx et yarn sont correctement chargés. Si vous ne redémarrez pas votre terminal, les alias ne seront pas disponibles.
Vérifiez l'installation en exécutant :
npm install safe-chain-test
- Le résultat devrait indiquer Aikido Chain bloque l'installation de ce paquet, car il est signalé comme un logiciel malveillant. (L'installation de ce paquet ne présente aucun risque.)
Sécurisez votre logiciel dès maintenant.
.avif)
