Elastic reagiert auf die kompromittierten npm-Pakete und den Shai-Hulud-Wurm. Sie analysieren ihren Code, um potenzielle Bedrohungen zu beheben, obwohl ihre Produkte nicht direkt mit npm ausgeliefert werden. Elastic verwendet npm für den Paketabruf während ihres Build-Prozesses, was sorgfältige Sicherheitsmaßnahmen erfordert. Sie haben Maßnahmen zur Risikominderung durch kompromittierte Pakete ergriffen. Dazu gehören Erkennungsregeln, Suchabfragen und Sicherheitsempfehlungen. Der Blog skizziert Beispiele für die Erkennung der Ausführung von TruffleHog. Er behandelt auch die Identifizierung der Datenexfiltration von cURL zu bösartigen Servern. Elastic sucht auch nach bestimmten Dateierstellungen, wie z. B. der Shai-Hulud workflow.yml. Sie verwenden jq, um Repository-Informationen zu untersuchen, und sie verwenden OSQuery, um kompromittierte Pakete zu identifizieren. Sie sammeln kontinuierlich installierte npm-Pakete, um nach bekannten bösartigen Paketen zu suchen.