Исследователь взломал системы 35 крупных IT-компаний путем атаки на цепочку зависимостей
Исследователю Алексу Бирсану удалось взломать внутренние системы более 35 крупных компаний, включая Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber, в ходе атаки на цепочку поставок программного обеспечения. Атака заключалась в загрузке вредоносного ПО в репозитории с открытым исходным кодом, включая PyPI, npm и RubyGems, которое попадало во внутренние приложения компании. При этом от целевой системы не требовалось никаких действий.
При атаке использовался конструктивный недостаток экосистем с открытым исходным кодом или путаница зависимостей.
Бирсан уже получил за эксплойт более $130 тысяч в качестве вознаграждений.
Исследователю предоставили файлы манифеста package.json из пакета npm, используемого внутри системы PayPal. Бирсан заметил, что некоторые из пакетов не присутствовали в общедоступном репозитории npm, а были частными пакетами npm, созданными PayPal. Тогда он решил выяснить, есть ли пакеты с такими же именами в общедоступном репозитории npm