據外媒報道,一名安全研究人員利用軟件供應鏈攻擊攻破了超過 35 家大公司的內部系統,包括蘋果、微軟和 PayPal。
安全研究員 Alex Birsan 能夠利用一些開源生態系統中獨特的設計缺陷“依賴混淆”來攻擊蘋果、微軟、PayPal、Shopify、Netflix、Yelp、特斯拉和優步(Uber)等公司的系統。
攻擊包括將惡意軟件上傳到開源存儲庫,包括 PyPI、NPM 和 RubyGems,然後這些惡意軟件會自動向下分發到各個公司的內部應用中。受害者自動收到惡意包,不需要社會工程或特洛伊木馬程序。
在核實他的組件已經成功滲透到公司網絡後,Birsan 向有問題的公司報告了他的發現,一些公司還獎勵了他一筆漏洞賞金。微軟給予他 4 萬美元的最高漏洞賞金,併發布了一份關於這一安全問題的白皮書,而 Birsan 將通過蘋果安全賞金計劃獲得獎勵,因為他負責任地披露了這一問題。