虛擬安全研究人員通過發(fā)現(xiàn)大型公司使用的開源程序中的一個簡單漏洞，已經(jīng)取得了相當大的成就。根據(jù)BleepingComputer的說法，Alex Birsan入侵了大約35個組織，包括蘋果，特斯拉，貝寶，微軟，Shopify，Netflix，Yelp和Uber等巨頭。最令人印象深刻？與采用社會工程技術(shù)的其他類型的攻擊不同，他的方法不需要受影響公司的員工進行任何疏忽。

許多人使用公共存儲庫來執(zhí)行公司操作，例如PyPI，npm和RubyGems，而這正是他用來構(gòu)造入侵的依據(jù)，因為實現(xiàn)是為內(nèi)部應(yīng)用程序自動分發(fā)的。

根據(jù)他的分析，該科學家發(fā)送了惡意代碼，這些惡意代碼得以傳播，并且該行為揭示了開源生態(tài)系統(tǒng)設(shè)計中的一個缺陷，稱為依賴混淆。

Birsan說，這個想法是在他與另一位專家Justin Gardner合作時產(chǎn)生的，Justin Gardner與他共享了一個清單文件package.json，該清單文件來自PayPal使用的npm軟件包。在檢查文檔時，他注意到公共存儲庫中不存在某些元素，但認為除私有NodeJS存儲庫外，還應(yīng)存在其他具有相同名稱的元素。

簡單上傳具有相同名稱的偽造軟件包就足以破壞流程。Birsan指出，在某些情況下，他必須添加更高的版本號才能實現(xiàn)自己想要的功能，僅此而已。

幸運的是，在這種情況下，插入的惡意軟件是無害的，因為Alex的目標只是警告公司。入侵得到確認后，這位科學家因發(fā)現(xiàn)錯誤而獲得了13萬多美元的獎勵-蘋果公司已經(jīng)保證將補充該獎項。

責任編輯：lq