Los últimos meses han dejado algo claro: los atacantes ya no están adivinando. Observan cómo los desarrolladores instalan dependencias y utilizan el propio factor tiempo como vector de ataque. Las versiones recientes son el objetivo principal de los atacantes, que actúan con rapidez.
Por ello, hemos actualizado Safe Chain para cerrar esa ventana.
Safe Chain ahora impone una antigüedad mínima para los paquetes, reteniendo cualquier versión publicada en las últimas 24 horas para que pueda ser analizada correctamente antes de la instalación. Las nuevas versiones son el lugar más fácil para que los atacantes se escondan, por lo que este periodo da a las herramientas de seguridad tiempo suficiente para analizarlas. Si una versión es demasiado nueva y aún no ha sido verificada, Safe Chain vuelve automáticamente a una versión limpia anterior. No interrumpe las compilaciones. Safe Chain es gratuito, de código abierto y se ejecuta localmente.
Este cambio convierte a Safe Chain en la opción segura por defecto para los desarrolladores.
¿Por qué los atacantes se centran en versiones recientes?
En los incidentes de 2025, los atacantes utilizaron sistemáticamente las versiones recién publicadas como su primer punto de infección. Este patrón se observa en todas las campañas de malware, y las nuevas versiones funcionan para los atacantes porque:
- las nuevas versiones se integran en el mantenimiento normal y los desarrolladores confían en ellas
- los sistemas de CI obtienen la última versión inmediatamente
- los registros, sandboxes y equipos de seguridad necesitan tiempo para analizar el nuevo código
- las cadenas de dependencias transitivas propagan rápidamente la versión maliciosa
Estos comportamientos fueron visibles en incidentes reales este año, incluyendo las oleadas de Shai Hulud en septiembre y noviembre, el compromiso de React Native Aria, el evento de puerta trasera de XRP, el RAT rand-user-agent y múltiples secuestros de tokens de mantenedor, todos los cuales comenzaron con una nueva versión.
En cada incidente importante que señalamos este año, las versiones maliciosas aparecieron como lanzamientos recién publicados antes de que nadie tuviera tiempo de revisarlas o señalarlas.
¿Por qué introdujimos una antigüedad mínima para los paquetes?
Las versiones recientes se convirtieron en el mayor punto ciego en el ecosistema npm. Los atacantes explotaron repetidamente esa brecha de tiempo porque funciona. Nuestra pipeline de amenazas observa el mismo patrón cada semana: se publica una nueva versión maliciosa, las pipelines de CI o las máquinas de los desarrolladores la obtienen al instante, y la exfiltración comienza mucho antes de que la comunidad en general note algo sospechoso.
Introducir una antigüedad mínima de 24 horas da a los defensores el tiempo necesario para clasificar y verificar los lanzamientos. Durante ese periodo, Safe Chain comprueba si:
- la versión es conocida por Aikido Intel
- ha superado el escaneo de malware
- está vinculada a un patrón de amenaza o incidente activo
.png)
Si la verificación es incompleta, Safe Chain suprime la versión temporalmente y vuelve a la última versión segura. Esto ya ha evitado instalaciones de malware activo de Shai Hulud, incluyendo paquetes comprometidos como toonfetch, que seguía activo en npm en el momento de la prueba.
.gif)
Safe Chain es la opción segura por defecto para los desarrolladores
Los desarrolladores no deberían tener que rastrear campañas de malware ni revisar manualmente cada actualización de dependencia. Las herramientas deberían encargarse de ello automáticamente.
Safe Chain ahora te proporciona una base más sólida sin interponerse en tu camino:
- bloquea paquetes maliciosos antes de la instalación
- suprime versiones con menos de 24 horas de antigüedad hasta su verificación
- restaura automáticamente la última versión limpia
- funciona con npm cli, npx, yarn, pnpm, pnpx, Bun, bunx y pip
- gratuito, de código abierto, sin tokens ni configuración
Safe Chain está impulsado por Aikido Intel, nuestro pipeline de amenazas que identifica alrededor de 200 paquetes maliciosos al día antes de que aparezcan en las bases de datos públicas de vulnerabilidades. Otras herramientas detectan el malware después de la instalación. Safe Chain lo detiene antes de que llegue a tu máquina.
Así es como deberían funcionar por defecto los ecosistemas de paquetes. Safe Chain integra ese modelo directamente en el flujo de trabajo del desarrollador.
Instala Safe Chain hoy mismo
Instalar Aikido Safe Chain es fácil. Solo necesitas 3 sencillos pasos:
Instala el paquete Aikido Safe Chain globalmente usando npm:
npm install -g @aikidosec/safe-chain
Configura la integración de shell ejecutando:
safe-chain setup
❗Reinicia tu terminal para empezar a usar Aikido Safe Chain.
- Este paso es crucial, ya que asegura que los alias de shell para npm, npx y yarn se carguen correctamente. Si no reinicias tu terminal, los alias no estarán disponibles.
Verifica la instalación ejecutando:
npm install safe-chain-test
- La salida debería mostrar que Aikido Safe Chain está bloqueando la instalación de este paquete ya que está marcado como malware. (La instalación de este paquete no conlleva ningún riesgo)
