Aikido Security lanceert Aikido Endpoint, een lichtgewicht agent die de endpoints van ontwikkelaars moet beschermen tegen supply chain-aanvallen. De tool moet risicovolle packages, IDE-extensies, browserplugins en AI-tools vóór installatie blokkeren.
Ontwikkelaars zijn geliefde doelwitten van aanvallers. Het gaat dan met name om aanvallen via de zogeheten supply chain. Recent nog was er een aanval van TeamPCP via onder andere Trivy, Checkmarx en LiteLLM. Kort daarna volgde een aanval op Axios, de meest gebruikte HTTP-client in JavaScript met meer dan 100 miljoen wekelijkse downloads.
Het doelwit bij deze aanvallen was telkens hetzelfde: het endpoint van de developer. De machines van developers bevatten immers heel veel informatie die aanvallers graag willen bemachtigen. Denk aan cloud-credentials, npm-publicatietokens, SSH-sleutels en directe toegang tot broncode.
Bestaande beveiligingstools richten zich doorgaans op repositories, CI/CD-pipelines of packagemanagers, horen we van Aikido Security, niet op het apparaat zelf. Aikido Endpoint werkt anders, claimt het bedrijf: de agent bewaakt iedere installatie op het apparaat en blokkeert dreigingen voordat ze het systeem bereiken.
Wat doet Aikido Endpoint?
Aikido Endpoint draait op het endpoint zelf en moet ervoor zorgen dat dreigingen geblokkeerd worden voordat ze via een installatie het apparaat van de developer bereiken. Dit doet het onder andere door middel van het gebruik van specifieke standaardinstellingen die hierop gericht zijn. Denk hierbij onder andere aan een minimale installatietijd. Packages die minder dan 48 uur geleden zijn gepubliceerd, worden geblokkeerd. Aikido Endpoint beschermt op deze manier npm, PyPI, Maven, NuGet, VS Code-extensies, browserplugins en AI-agent-marketplaces.
Aikido heeft Endpoint bovenop Safe Chain gebouwd. Safe Chain is de open-source CLI-firewall van het bedrijf, dat naar eigen zeggen wekelijks meer dan 200.000 wordt gedownload. Hiermee kunnen ontwikkelaars en organisaties al beschermd worden tegen de aanvalspatronen achter Shai-Hulud, TeamPCP en de Axios-aanval. Aikido Endpoint kun je zien als de volgende stap, met name gericht op enterprises. Het werkt in combinatie met bestaande MDM-tools en biedt governance, specifieke workflows en werkt met alle package managers en marketplaces op de machine van de ontwikkelaar.
Met de komst van Aikido Endpoint moet het mogelijk worden om het endpoint van de ontwikkelaar, dat Aikido de achilleshiel van de software supply chain noemt, te beschermen tegen aanvallen. Zeker in een tijd waarin het schrijven van een supply chain-aanval steeds minder tijd kost dankzij steeds verdergaande automatisering middels AI, is het goed om deze achilleshiel meer aandacht te geven.