Un ricercatore di sicurezza è stato in grado di violare i sistemi interni di oltre 35 grandi aziende, tra cui Apple, Microsoft e PayPal, utilizzando un attacco software molto particolare.
Il ricercatore di sicurezza Alex Birsan è riuscito a sfruttare un difetto di progettazione in alcuni ecosistemi open source chiamato “dependency confusion” per attaccare i sistemi di aziende come Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla e Uber.
L’attacco ha comportato il caricamento di malware su repository open source tra cui PyPI, npm e RubyGems, che sono stati poi automaticamente distribuiti a valle nelle applicazioni interne delle varie società. Le aziende colpite hanno ricevuto automaticamente i pacchetti dannosi, senza necessità diportare avanti azioni di ingegneria sociale o trojan.
Birsan è stato in grado di creare progetti contraffatti utilizzando gli stessi nomi su repository open source, ciascuno contenente un messaggio di dichiarazione di non responsabilità, e ha scoperto che le applicazioni estraevano automaticamente i pacchetti senza richiedere alcuna azione da parte dello sviluppatore. In alcuni casi, come con le versioni PyPI, qualsiasi pacchetto con una versione superiore aveva la priorità indipendentemente da dove si trovava. Questo ha consentito a Birsan di attaccare con successo i software di gestione di più aziende.
Dopo aver verificato che il suo componente si era infiltrato con successo nella rete aziendale, Birsan ha riferito le sue scoperte alla società in questione e alcune lo hanno premiato con pagamenti in denaro. Microsoft gli ha riconosciuto la sua più alta taglia di bug bounty pari a 40.000 dollari e ha rilasciato un white paper su questo problema di sicurezza, mentre Apple fa sapere che Birsan riceverà una ricompensa tramite il programma Apple Security Bounty per aver divulgato responsabilmente il problema.
Il ricercatore ha guadagnato oltre 130.000 dollari grazie alle ricompense riconosciute dalle varie aziende.