Los últimos meses han dejado algo claro. Los atacantes ya no están adivinando. Están observando cómo los desarrolladores instalan las dependencias y están utilizando el tiempo como vector de ataque. Las versiones nuevas son el primer objetivo de los atacantes, que actúan con rapidez.
Así que actualizamos Safe Chain para cerrar esa ventana.
Safe Chain ahora impone una antigüedad mínima para los paquetes, reteniendo cualquier versión publicada en las últimas 24 horas para que pueda analizarse adecuadamente antes de su instalación. Las versiones recientes son el lugar más fácil para que los atacantes se escondan, por lo que este margen de tiempo da a las herramientas de seguridad tiempo suficiente para analizarlas. Si una versión es demasiado nueva y aún no ha sido verificada, Safe Chain recurre automáticamente a una versión anterior limpia. No interrumpe las compilaciones. Safe Chain es gratuito, de código abierto y se ejecuta localmente.
Este cambio convierte a Safe Chain en la opción segura predeterminada para los desarrolladores.
¿Por qué los atacantes se centran en las versiones más recientes?
En los incidentes ocurridos en 2025, los atacantes utilizaron sistemáticamente las versiones recién publicadas como primer punto de infección. Este patrón se repite en todas las campañas de malware, y las nuevas versiones funcionan para los atacantes porque:
- Las nuevas versiones se integran en el mantenimiento habitual y los desarrolladores confían en ellas.
- Los sistemas CI obtienen la última versión inmediatamente.
- Los registros, los entornos de pruebas y los equipos de seguridad necesitan tiempo para analizar el nuevo código.
- Las cadenas de dependencia transitivas propagan rápidamente la versión maliciosa.
Estos comportamientos se hicieron evidentes en incidentes reales ocurridos este año, como las oleadas de Shai Hulud en septiembre y noviembre, el compromiso de React Native Aria, el evento de puerta trasera de XRP, el RAT rand-user-agent y múltiples secuestros de tokens de mantenedores, todos ellos iniciados con un nuevo lanzamiento.
En todos los incidentes importantes que hemos señalado este año, las versiones maliciosas aparecieron como nuevas publicaciones antes de que nadie tuviera tiempo de revisarlas o señalarlas.
Por qué hemos introducido una edad mínima para los paquetes
Las versiones nuevas se convirtieron en el mayor punto ciego del ecosistema npm. Los atacantes explotaron repetidamente esa brecha temporal porque funciona. Nuestra canalización de amenazas observa el mismo patrón cada semana: se publica una nueva versión maliciosa, las canalizaciones de CI o las máquinas de los desarrolladores la descargan al instante y la filtración comienza mucho antes de que la comunidad en general note algo sospechoso.
La introducción de un mínimo de 24 horas da a los defensores el tiempo necesario para clasificar y verificar las liberaciones. Durante ese periodo, Safe Chain comprueba si:
- La versión es conocida por Aikido Intel.
- Ha superado el análisis de malware.
- está vinculado a un patrón de amenaza activo o a un incidente
.png)
Si la verificación está incompleta, Safe Chain suprime temporalmente la versión y vuelve a la última versión segura. Esto ya ha impedido la instalación del malware activo Shai Hulud, incluidos paquetes comprometidos como toonfetch, que seguían activos en npm en el momento de la prueba.
.gif)
Safe Chain es la opción segura predeterminada para los desarrolladores.
Los desarrolladores no deberían tener que realizar un seguimiento de las campañas de malware ni revisar manualmente cada actualización de dependencias. Las herramientas deberían encargarse de ello automáticamente.
Safe Chain ahora te ofrece una base más sólida sin entorpecerte:
- bloquea los paquetes maliciosos antes de instalarlos
- Oculta las versiones con menos de 24 horas hasta que se verifiquen.
- vuelve automáticamente a la última versión limpia
- Funciona con npm cli, npx, yarn, pnpm, pnpx, Bun, bunx y pip.
- gratuito, código abierto, sin tokens ni configuración
Safe Chain funciona con Aikido Intel, nuestro canal de amenazas que identifica alrededor de 200 paquetes maliciosos al día antes de que aparezcan en las bases de datos públicas de vulnerabilidades. Otras herramientas detectan el malware después de su instalación. Safe Chain lo detiene antes de que llegue a su equipo.
Así es como deberían funcionar los ecosistemas de paquetes por defecto. Safe Chain incorpora ese modelo directamente al flujo de trabajo de los desarrolladores.
Instale Safe Chain hoy mismo
Instalar la cadena de seguridad Aikido es fácil. Solo hay que seguir tres sencillos pasos:
Instala el paquete Aikido Safe Chain globalmente utilizando npm:
npm install -g @aikidosec/safe-chain
Configure la integración del shell ejecutando:
Configuración de cadena segura
❗Reinicie su terminal para comenzar a utilizar Aikido Safe Chain.
- Este paso es crucial, ya que garantiza que los alias de shell para npm, npx y yarn se carguen correctamente. Si no reinicias tu terminal, los alias no estarán disponibles.
Verifique la instalación ejecutando:
npm install safe-chain-test
- El resultado debería mostrar que Aikido Safe Chain está bloqueando la instalación de este paquete, ya que está marcado como malware. (La instalación de este paquete no conlleva ningún riesgo).
Protege tu software ahora.
.avif)
