Исследователь в области кибербезопасности Алекс Бирсан придумал необычный вектор атаки на технологические компании, пользующиеся инструментами с открытым исходным кодом. В результате ему удалось проникнуть во внутренние системы 35 крупных организаций — в том числе Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber.
Бирсан назвал продемонстрированную атаку "путаницей зависимостей", пишет BleepingComputer. Эксперт заметил, что многие IT-гиганты устанавливают пакеты из общедоступных репозиториев (таких как PyPI, npm и RubyGems), поэтому для взлома ему будет достаточно создать зависимость с таким же именем, но указать более новую версию. Тогда целевая система сочтет, что вышло "обновление", и загрузит вредоносный код.
По словам Бирсана, подмена файлов сработала для трех языков программирования — Python, Ruby и Java. Этичный хакер также отметил, что если проект расположен в публичном и частном репозиториях, то приоритет будет отдан именно публичному.
Бирсан проводил эксперимент без злого умысла — распространенные им фейковые пакеты были пустышками и не содержали вредоносного кода. За помощь в обнаружении недостатков безопасности компании выплатили специалисту вознаграждения на общую сумму $130 000.