Aikido
無料で始める
CC不要
ブログ
/
製品および会社のお知らせ

Safe Chainは、インストール前にパッケージの最小期間を適用するようになりました。

執筆者
Trusha Sharma
公開日:
2025年11月28日

ここ数ヶ月で、あることが明らかになりました。攻撃者はもはや推測していません。開発者が依存関係をインストールする方法を監視し、タイミングそのものを攻撃ベクトルとして利用しています。最新バージョンは、攻撃者が最初にかつ迅速に攻撃を仕掛ける場所です。

そこで、その窓を閉じるためにSafe Chainをアップグレードしました。

Safe Chainは、パッケージの最小期間を適用するようになり、過去24時間以内に公開されたバージョンを保留し、インストール前に適切に分析できるようにします。新しいリリースは攻撃者が潜伏しやすい場所であるため、この期間はセキュリティツールがそれらを分析するのに十分な時間を与えます。バージョンが新しすぎてまだ検証されていない場合、Safe Chainは自動的に以前のクリーンなバージョンにフォールバックします。ビルドを中断することはありません。Safe Chainは無料でオープンソースであり、ローカルで動作します。

この変更により、Safe Chainは開発者にとって安全なデフォルトとなります。

攻撃者が最新バージョンを狙う理由

2025年のインシデント全体で、攻撃者は公開されたばかりのバージョンを一貫して最初の感染経路として利用しました。このパターンはマルウェアキャンペーン全体で見られ、新しいリリースが攻撃者にとって有効である理由は次のとおりです。

  • 新しいバージョンは通常のメンテナンスに溶け込み、開発者はそれらを信頼します
  • CIシステムは最新バージョンを即座にプルします
  • レジストリ、サンドボックス、セキュリティチームは、新しいコードを分析する時間が必要です
  • 推移的依存関係チェーンにより、悪意のあるバージョンが迅速に拡散されます。

これらの挙動は、今年の実際のインシデントで確認されました。これには、9月と11月のShai Huludウェーブ、React Native Ariaの侵害、XRPバックドアイベント、rand-user-agent RAT、そしてすべてが新しいリリースから始まった複数のメンテナートークンハイジャックが含まれます。

今年私たちが特定したすべての主要なインシデントにおいて、悪意のあるバージョンは、誰もレビューやフラグを立てる時間がないうちに、新規公開されたリリースとして出現していました。

パッケージの最小経過期間を導入した理由

新しいバージョンはnpmエコシステムにおける最大の盲点となりました。攻撃者はその時間差を繰り返しエクスプロイトしました。それは効果的だからです。当社の脅威パイプラインは毎週同じパターンを検出しています。新しい悪意のあるバージョンが公開され、CIパイプラインや開発者のマシンがそれを即座にプルし、広範なコミュニティが疑わしいものに気づくずっと前に、データ流出が始まります。

最低24時間の経過期間を設けることで、防御側はリリースを分類し検証するために必要な時間を確保できます。その期間中、Safe Chainは以下を確認します:

  • そのバージョンはAikido Intelに認識されています
  • マルウェアスキャンに合格しています。
  • アクティブな脅威パターンまたはインシデントにリンクされています。

検証が不完全な場合、Safe Chainはそのバージョンを一時的に抑制し、最後に安全と確認されたバージョンにフォールバックします。これにより、テスト時にnpm上で公開されていたtoonfetchのような侵害されたパッケージを含む、アクティブなShai Huludマルウェアのインストールが既に阻止されました。

Safe Chainは開発者にとって安全なデフォルト設定です

開発者はマルウェアキャンペーンを追跡したり、すべての依存関係の更新を手動でレビューしたりする必要はありません。ツールがそれを自動的に処理すべきです。

Safe Chainは、邪魔をすることなく、より強力なベースラインを提供するようになりました。

  • インストール前に悪意のあるパッケージをブロックします
  • 検証されるまで、24時間未満のバージョンは抑制されます。
  • 自動的に最後のクリーンなバージョンにフォールバックします
  • npm cli、npx、yarn、pnpm、pnpx、Bun、bunx、pipに対応しています
  • 無料、オープンソース、トークンや設定は不要

Safe Chainは、公開の脆弱性データベースに現れる前に1日あたり約200の悪意のあるパッケージを特定する当社の脅威パイプラインであるAikido Intelによって強化されています。他のツールはインストール後にマルウェアを検出しますが、Safe Chainはそれがマシンに到達する前に阻止します。

これが、パッケージエコシステムがデフォルトで機能すべき方法です。Safe Chain はそのモデルを開発者のワークフローに直接もたらします。

Safe Chainを今すぐインストールしましょう。

Aikido Safe Chainのインストールは簡単です。わずか3つの簡単なステップで完了します:

npmを使用してAikido Safe Chainパッケージをグローバルにインストールします:

npm install -g @aikidosec/safe-chain

シェル統合をセットアップするには、以下を実行します:

safe-chain セットアップ

❗ Aikido Safe Chainの使用を開始するには、ターミナルを再起動してください。

  • このステップは、npm、npx、およびyarnのシェルエイリアスが正しくロードされることを保証するため、非常に重要です。ターミナルを再起動しない場合、エイリアスは利用できません。

インストールを検証するには、以下を実行します。

npm install safe-chain-test

  • 出力には、Aikido Safe Chainがこのパッケージのインストールをブロックしていることが表示されるはずです。これはマルウェアとしてフラグ付けされているためです。(このパッケージのインストールにはリスクはありません)
最終更新日:
2025年11月28日
共有:

https://www.aikido.dev/blog/safechain-minimum-package-age

脅威ニュースをサブスクライブ

今すぐソフトウェアを保護します。

今日から無料で始めましょう。

無料で始める
CC不要
関連記事
すべて表示
すべて表示
2026年2月24日
製品および会社のお知らせ

設計上どのようにAikidoが、AIペネトレーションテストエージェントを確実に保護するのか

学び方 Aikido が、アーキテクチャの分離、実行時のスコープ強制、ネットワークレベルの制御により、AIペネトレーションテストエージェントを保護し、本番環境のドリフトやデータ漏洩を防ぐ方法を学びましょう。

#
AI ペネトレーションテスト
#
AI安全性
#
AI
2026年2月16日
製品および会社のお知らせ

検知から予防へ:Zen実行時にIDOR脆弱性に対処する方法

IDOR脆弱性は、マルチテナントSaaSにおけるテナント間データ漏洩の最も一般的な原因の一つです。Zen クエリを分析し、出荷前に安全でないアクセスを防止することで、実行時にテナント分離をどのようにZen をご覧ください。

#
RASP
2026年2月13日
製品および会社のお知らせ

アップグレード影響分析のご紹介:コードに実際に影響を与えるブレイキングチェンジとは

Aikido 依存関係のアップグレードにおける互換性のない変更を自動的に検出し、コードベースを分析して実際の影響を表示するため、チームは安全にセキュリティ修正をマージできます。

今すぐ、安全な環境へ。

コード、クラウド、ランタイムを1つの中央システムでセキュアに。
脆弱性を迅速に発見し、自動的に修正。

スキャンを開始
CC不要
デモを予約する
クレジットカードは不要です | スキャン結果は32秒で表示されます。