Дослідник безпеки зламав Apple, PayPal і Microsoft

Досліднику безпеки Алексу Бірсану вдалося зламати внутрішні системи понад 35 великих компаній, зокрема Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla і Uber. Йому вдалося зробити це завдяки проблемі у використанні програмного забезпечення з відкритим вихідним кодом.

Атака полягала в завантаженні шкідливого ПЗ в репозиторії з відкритим вихідним кодом, такі, як PyPI, npm і RubyGems. Потім вони автоматично розподілялися по внутрішнім додаткам компанії.

На відміну від традиційних атак типу typosquatting, що використовують тактику соціальної інженерії, або те, що жертва сама неправильно напише назву пакета, ця конкретна атака більш витончена, так як вона не вимагає ніяких дій з боку жертви — та автоматично отримує шкідливі пакети. Для цього лише необхідно підробити ім’я шкідливої ​​програми під найменування софтверного пакета, що знаходиться в репозиторії, а потім дописати номер версії, який буде вище актуального.

Бірсан провів експеримент без злого намірів — його фейкові пакети не містили шкідливого коду. За свої етичні дослідження дослідник заробив понад 130 000 доларів як винагороду за виявлення помилок.