Im folgenden listen wir einen kurzen Fragenkatalog zur aktuellen NPM-basierten Sicherheitslücke auf. Candis verwendet hierbei diverse Microservices, welche auf die schadhaften Pakete gescannt wurden und hierbei wurde keines der betroffenen Pakete gefunden. Somit sind wir nicht von dieser Sicherheitslücke betroffen. Im folgenden listen wir ein kurzes FAQ hierzu auf:
1. Nutzt Candis NPM-Pakete in Ihren Lösungen oder Build-Prozessen? Wenn ja, welche Pakete und Versionen sind aktuell im Einsatz?
Unser System umfasst zahlreiche Microservices, einschließlich Komponenten von Drittanbietern, die möglicherweise unterschiedliche NPM-Pakete einsetzen. Eine vollständige und verlässliche Aufstellung aller Pakete und Versionen wäre mit erheblichem Aufwand verbunden. Da wir – abgesehen von der Nutzung dieser Dienste – keinen Einfluss auf die dort eingesetzten Packages haben, liegt die Verantwortung für deren Prüfung bei den jeweiligen Anbietern der Microservices. Unsere eigenen Dienste haben wir gemäß Frage 2 geprüft.
2. Sind die folgenden kompromittierten Pakete oder deren Abhängigkeiten in Ihren Systemen enthalten? (Beispiele aus der Liste: angulartics2@14.1.2, @ctrl/ngx-codemirror@7.0.2, ngx-toastr@19.0.2, react-jsonschema-form-extras@1.0.4). Bitte prüfen Sie auch indirekte Abhängigkeiten.
Wir haben unsere Dienste gescannt und keine kompromittierten Pakete feststellen können, wir haben dabei diese Liste verwendet: https://github.com/wiz-sec-public/wiz-research-iocs/blob/main/reports/shai-hulud-2-packages.csv
3. Haben Sie bereits Maßnahmen ergriffen, um potenziell kompromittierte Pakete zu identifizieren und zu entfernen? Falls ja, welche Schritte wurden durchgeführt (z. B. Rollback, Token-Invalidierung, CI/CD-Überprüfung)?
Da keine festgestellt wurden, wurden auch noch keine Maßnahmen ergänzenden Maßnahmen über die in 4. aufgelisteten ergriffen.
4. Gab es Auffälligkeiten in Ihren Systemen, die auf Credential-Scanning oder unerwartete Netzwerkverbindungen hindeuten? Insbesondere Verbindungen zu unbekannten Webhook-Domains.
Nein, normalerweise benachrichtigen uns die Cloud-Anbieter und GitHub so schnell wie möglich (Google Cloud deaktiviert Schlüssel sogar automatisch in diesem Fall).
5. Welche zusätzlichen Sicherheitsmaßnahmen planen Sie, um Supply-Chain-Angriffe zu verhindern? Z. B. Implementierung von Paket-Signaturen, Dependency-Scanning, SBOM (Software Bill of Materials).
Das bereits vorhandene Abhängigkeits-Scanning und es wurde verhindert, dass NPM Pakete zusätzliche Skripte installieren kann.