Het cyberagentschap van de Amerikaanse overheid adviseert softwareontwikkelaars en organisaties om minstens drie uur te wachten met de installatie van nieuwe packages van bijvoorbeeld GitHub, npm of de Python Package Index (PyPI). De afgelopen weken wisten aanvallers tal van packages op deze platforms van malware te voorzien. Softwareontwikkelaars die van deze packages gebruikmaken en de geïnfecteerde versies installeerden raakten zo zelf geïnfecteerd. Vervolgens kon de malware inloggegevens, tokens, keys en andere credentials van deze ontwikkelaars stelen en hun softwareprojecten infecteren.

Om dergelijke supplychain-aanvallen te voorkomen doet het Cybersecurity & Infrastructure Security Agency (CISA) van het Amerikaanse ministerie van Homeland Security verschillende aanbevelingen voor het gebruik van package repositories. Zo wordt aangeraden om minstens drie uur te wachten met het installeren van een nieuwe package. "Dit geeft de softwarecommunity de tijd om verdachte of malafide packages te identificeren voordat ze op grote schaal worden gedownload."

Verder wordt door het CISA aangeraden om software aan specifieke vertrouwde versies te pinnen. Dit moet voorkomen dat er tijdens het build proces een malafide of niet-gescreende package wordt gedownload. Verder stelt het Amerikaanse cyberagentschap dat ontwikkelaars alleen packages van bekende en vertrouwde bronnen moeten downloaden. Tevens is het verstandig om workflow bestanden en 'contributor activity' te monitoren en auditen. In het geval een omgeving is gecompromitteerd raadt het CISA aan om alle secrets te vervangen, zoals inloggegevens, keys en tokens.