Elastic réagit aux packages npm compromis et au ver Shai-Hulud. Ils analysent leur base de code pour faire face aux menaces potentielles, même si leurs produits ne sont pas directement livrés avec npm. Elastic utilise npm pour la récupération des packages lors de son processus de construction, ce qui nécessite des mesures de sécurité rigoureuses. Ils ont mis en œuvre des actions pour atténuer les risques liés aux packages compromis. Cela implique des règles de détection, des requêtes de recherche et des recommandations de sécurité. Le blog présente des exemples de détection d'exécution de TruffleHog. Il couvre également l'identification de l'exfiltration de données cURL vers des serveurs malveillants. Elastic recherche également la création de fichiers spécifiques, comme le workflow.yml de Shai-Hulud. Ils utilisent jq pour examiner les informations du référentiel et utilisent OSQuery pour identifier les packages compromis. Ils collectent en permanence les packages npm installés pour rechercher ceux qui sont connus comme malveillants.