→ En resumen: los dispositivos de los desarrolladores son el nuevo talón de Aquiles de la cadena de suministro de software. Aikido Endpoint Protection protege los dispositivos contra ataques de instalación a través de registros de paquetes, extensiones de IDE, complementos de navegador y mercados de habilidades. Desarrolla sin miedo.
Últimamente ha sido una locura, ¿verdad?
Solo en marzo, el grupo TeamPCP utilizó credenciales robadas para atacar cuatro importantes proyectos de código abierto en menos de diez días: Trivy, Checkmarx , LiteLLM y Telnyx. Unos días más tarde, Axios, el cliente HTTP de JavaScript con más de 100 millones de descargas semanales, sufrió un ataque a través de una cuenta de administrador que había sido secuestrada. Esta semana, Vercel reveló que un atacante accedió a los sistemas internos y a las variables de entorno tras haber comprometido, probablemente, una extensión de Chrome utilizada por uno de sus empleados.
Últimamente, estar al día en materia de seguridad parece una semana intermin able:
Y si te sientes excluido, ten paciencia.
En doce meses, hemos pasado de vulnerabilidades en paquetes individuales a gusanos autorreplicantes y, finalmente, a secuestros completos de procesos de CI/CD que se propagan a través de distintos registros. Los atacantes están aprendiendo más rápido de lo que tardamos en publicar las correcciones.
«Antes, escribir un ataque a la cadena de suministro requería auténticas habilidades. Había que entender los registros de paquetes, los flujos de CI/CD, las técnicas de ofuscación y cómo escribir cargas útiles que eludieran la detección. Ahora solo hace falta una suscripción a ChatGPT de 8 dólares. Ni siquiera es necesario saber qué es npm para escribir malware que se propague a través de él.
Pídele a un modelo que escriba un gancho postinstalación que extraiga variables de entorno, y lo hará. Pídele que ofusque la carga útil, y lo hará. El ataque se ha democratizado. La defensa ha mejorado, pero no al mismo ritmo».
Por otro lado, los agentes de programación basados en IA están descargando paquetes, ejecutando herramientas y añadiendo funciones de forma autónoma, sin apenas supervisión humana sobre lo que se instala. ¿Hacia dónde nos lleva todo esto?
El nuevo punto final: los dispositivos de los desarrolladores
Todos estos ataques comparten un mismo objetivo: el propio dispositivo del desarrollador. ¿Por qué?
Los dispositivos de los desarrolladores son entornos de confianza que guardan las llaves del castillo: credenciales de la nube, claves SSH, tokens de publicación de npm, configuraciones de Kubernetes, acceso directo al código fuente y al entorno de producción. Si se compromete uno solo, el alcance de los daños es enorme. Una sola credencial comprometida ha bastado para publicar versiones maliciosas de paquetes legítimos, lo que ha provocado vulneraciones en miles de organizaciones.
¿Acaso los dispositivos de los desarrolladores no están protegidos por las herramientas existentes? No. Ahí está el problema. Las herramientas de seguridad en las que confían la mayoría de las empresas —la protección tradicional de endpoints (EDR) para detectar amenazas en el sistema operativo y la gestión de dispositivos móviles (MDM) para controlar lo que se instala— se diseñaron para un mundo de binarios firmados y ataques al sistema operativo. Y, desde luego, no se diseñaron para los desarrolladores de hoy en día.
El software que se instala hoy en día en los equipos de los desarrolladores consiste en paquetes de código, extensiones para entornos de desarrollo integrado (IDE), extensiones para navegadores, herramientas de IA y servidores MCP. Se trata de software en texto plano, sin compilar. El EDR no detecta el comando «npm install». El MDM no sabe qué hace una extensión MCP.
Los dispositivos de los desarrolladores son el nuevo talón de Aquiles de la cadena de suministro de software.
El statu quo no funciona
Sin herramientas que cubran el punto final de los desarrolladores, la mayoría de las empresas acaban en una de estas dos situaciones desfavorables.
- Lo bloquean todo. No se permite instalar nada. Registros privados, muros de hierro entre los desarrolladores y la Internet abierta. Puede que funcione para empresas muy reguladas, como los bancos, pero frena la velocidad en todos los demás ámbitos. Es tan restrictivo que los desarrolladores luchan por conseguir amplias exenciones o buscan soluciones alternativas, como utilizar un segundo portátil o desactivar las VPN, lo que agrava aún más el problema.
- Permiten y rezan. No existe ningún método eficaz para controlar lo que instalan los desarrolladores, así que esperan que no haya ningún problema, confiando en la rotación de claves y en políticas de acceso mínimo. Así es como funcionan la mayoría de las empresas.
O bien combinan ambas opciones, con una revisión manual caso por caso. No es escalable (obviamente). Ninguna de estas opciones funciona.
«En el mundo empresarial, la productividad de los desarrolladores prima sobre cualquier otra consideración y, por lo general, a estas máquinas se les conceden amplias exenciones respecto a los controles habituales, lo que genera enormes puntos ciegos en las organizaciones… o simplemente no merece la pena el esfuerzo de prevenir posibles vulnerabilidades, sobre todo teniendo en cuenta la reacción negativa de los desarrolladores que inevitablemente se produciría.» (James Berthoty)
Las empresas no pueden permitirse ralentizar el desarrollo, ni tampoco pueden permitirse seguir sin protegerlo. Por eso hemos creado Aikido Endpoint Protection.
Presentamos Aikido Endpoint Protection
Aikido Endpoint Protection es la capa de seguridad que se instala en el dispositivo del desarrollador y que le ofrece visibilidad, control y protección sobre lo que se instala en las estaciones de trabajo de sus ingenieros.
Con Aikido Endpoint Protection, los equipos pueden:
- Obtén una visibilidad completa de tu cadena de suministro de software: consulta todas las extensiones de navegador, bibliotecas de código, complementos de IDE y dependencias de compilación instaladas en los dispositivos de tu equipo.
- Detén el malware antes de que se instale: Aikido identifica automáticamente los paquetes e instalaciones maliciosos y los bloquea antes de que lleguen al dispositivo
- Aplicar la antigüedad mínima de los paquetes: Establezca sus propios requisitos de madurez de los paquetes antes de su uso y reduzca al mínimo los periodos de riesgo
- Bloquea ecosistemas específicos: impide todas las instalaciones procedentes de cualquier ecosistema o tienda de aplicaciones cuando tu equipo no las necesite.
- Solicitar autorización para instalar software nuevo: permite a los miembros del equipo solicitar instalaciones, al tiempo que los administradores mantienen el control sobre lo que se aprueba, y establece políticas de equipo, excepciones y flujos de trabajo.
En la práctica, esto se traduce en lo siguiente:
Un desarrollador instala una extensión de VS Code que parece legítima, funciona tal y como se anuncia y, al iniciarse, instala silenciosamente un troyano de acceso remoto. El punto final la compara con la base de datos de amenazas de Aikido Intel y la bloquea antes de que se active. Esto es precisamente lo que detectamos en enero con una extensión falsa de Clawdbot.
Un desarrollador ejecuta el comando «npm i axios», que intenta descargar la última versión. Esa versión se publicó hace una hora. El punto final recurre a la versión más reciente que cumple con la política de antigüedad mínima de 48 horas. En el ataque a Axios, la dependencia maliciosa que contenía el dropper se preparó con menos de 24 horas de antelación a que las versiones comprometidas la incorporaran. La comprobación de antigüedad por sí sola habría bloqueado la infección.
En todos nuestros productos, nos mantenemos implacablemente fieles a nuestro objetivo de que los desarrolladores puedan volver a centrarse en programar. Para los desarrolladores, Aikido Endpoint Protection está diseñado para pasar desapercibido. Programa con total libertad. Las instalaciones seguras se llevan a cabo sin interrupciones. Si algo es malicioso, se bloquea antes de que llegue al equipo. Si te olvidas de que está en funcionamiento, ese es precisamente el objetivo. [...Insertar metáfora típica sobre lo agradecido que estás de llevar casco el día que tienes un accidente]
Para los equipos de seguridad, Aikido Endpoint Protection está diseñado para ofrecerte visibilidad y control sin ralentizar el desarrollo. Establece tus propias políticas de equipo, crea listas de herramientas autorizadas, implementa flujos de trabajo de solicitud y aprobación, obtén un registro de auditoría completo y visibilidad de todos los dispositivos de los desarrolladores de la organización. Implántalo fácilmente a través de tu MDM actual.
Desarrollado sobre una base abierta
El año pasado lanzamos Safe Chain, un servidor proxy de código abierto que envuelve la interfaz de línea de comandos (CLI), bloquea los paquetes maliciosos antes de su instalación y exige que los paquetes tengan una antigüedad mínima de 48 horas. Con más de 200 000 descargas semanales, Safe Chain ofrece protección tanto a desarrolladores individuales como a equipos empresariales. Si utilizabas Safe Chain, los ataques Shai-Hulud, TeamPCP y Axios fueron bloqueados.
Safe Chain es el paquete inicial. Seguiremos invirtiendo en el proyecto. Seguirá siendo de código abierto. Endpoint es la evolución, con fuentes ampliadas, facilidad de implementación, controles de gobernanza y un panel de control central.
Tanto Safe Chain como Endpoint se ejecutan en Aikido Intel, nuestro inteligencia de amenazas basado en modelos de lenguaje grande (LLM). Aikido Intel supervisa la red abierta y detecta malware y vulnerabilidades pre-CVE en los ecosistemas de código abierto a medida que se identifican. En lo que respecta específicamente al malware, Aikido Intel analiza ahora más de 100 000 proyectos sospechosos al día —frente a los 20 000 de esta misma época el año pasado— e identifica el malware a los pocos minutos de su publicación.
Aikido Intel cuenta con el respaldo de un equipo especializado de investigadores de seguridad e ingenieros de IA. Publicamos automáticamente todos los hallazgos sobre amenazas, lo que convierte a Aikido Intel en tu primera fuente de alerta ante amenazas a la cadena de suministro. Gratis. Abierto. → https://intel.aikido.dev/
Empieza ya (sí, hay un plan gratuito)
Aikido Endpoint Protection está disponible en todos los planes. La protección para npm y PyPI se incluye de forma gratuita.
Para políticas personalizadas, flujos de trabajo de aprobación, supervisión de extensiones de VS Code, supervisión de complementos de navegador y ecosistemas adicionales, se aplica una suscripción adicional por dispositivo.
Para descubrir cómo Endpoint puede proteger a tus desarrolladores, solicita una demostración, empieza a probarlo gratis o únete a nuestra demostración en directo este jueves a las 9:00 a. m. (hora del Pacífico).
Construye sin miedo
Este año ha sido duro, o como dice Charlie de forma poética (aunque un tanto sombría): «En este momento, nuestras cadenas de suministro no son cadenas en absoluto. Son hilos sueltos que se están deshilachando».
Endpoint ayuda a atar esos cabos sueltos. Descubre tus riesgos. Previene los ataques. Y lo más importante: permite a los desarrolladores trabajar sin interrupciones… y sin miedo.
- Madeline, Aikido
P.D. Aunque «construye sin miedo» se acerca peligrosamente a uno de esos cojines de sofá bordados con el lema «vive, ríe, ama» que quemaría nada más verlo… funciona. Es pegadizo.
Tengo libre albedrío y poder de decisión. Hoy voy a hacer uso de ambos. Eslogan = decidido.
