Het Britse National Cyber Security Centre (NCSC) adviseert softwareontwikkelaars om packages en andere dependency updates niet automatisch te installeren, maar ze eerst handmatig te controleren. Eerder kwam het Amerikaanse cyberagentschap CISA met het advies om minstens drie uur te wachten met de installatie van nieuwe packages. Aanleiding zijn de supplychain-aanvallen waar tal van organisaties mee te maken hebben gekregen.

De afgelopen weken wisten aanvallers tal van packages van GitHub, npm of de Python Package Index (PyPI) van malware te voorzien. Softwareontwikkelaars die voor hun projecten van deze packages gebruikmaken en de geïnfecteerde versies installeerden raakten zo zelf geïnfecteerd. Vervolgens kon de malware inloggegevens, tokens, keys en andere credentials van deze ontwikkelaars stelen en hun softwareprojecten infecteren.

Het Britse NCSC stelt dat softwareontwikkelaars meteen een aantal maatregelen kunnen nemen om het risico te beperken. Zo wordt aangeraden om nieuwe updates, dependencies of versies eerst handmatig te controleren. Tevens adviseert de Britse overheidsdienst in het geval van een mogelijke supplychain-aanval om automatische dependency updates te pauzeren. Tevens moeten ontwikkelaars in kaart brengen welke dependencies er binnen hun projecten zijn. Ook wordt aangeraden om een balans te vinden tussen het snel installeren van patches en het langzaam updaten van dependencies, om zo de impact van een succesvolle aanval te beperken.