虛擬安全研究人員通過(guò)發(fā)現(xiàn)大型公司使用的開(kāi)源程序中的一個(gè)簡(jiǎn)單漏洞，已經(jīng)取得了相當(dāng)大的成就。根據(jù)BleepingComputer的說(shuō)法，Alex Birsan入侵了大約35個(gè)組織，包括蘋(píng)果，特斯拉，貝寶，微軟，Shopify，Netflix，Yelp和Uber等巨頭。最令人印象深刻？與采用社會(huì)工程技術(shù)的其他類型的攻擊不同，他的方法不需要受影響公司的員工進(jìn)行任何疏忽。

許多人使用公共存儲(chǔ)庫(kù)來(lái)執(zhí)行公司操作，例如PyPI，npm和RubyGems，而這正是他用來(lái)構(gòu)造入侵的依據(jù)，因?yàn)閷?shí)現(xiàn)是為內(nèi)部應(yīng)用程序自動(dòng)分發(fā)的。

根據(jù)他的分析，該科學(xué)家發(fā)送了惡意代碼，這些惡意代碼得以傳播，并且該行為揭示了開(kāi)源生態(tài)系統(tǒng)設(shè)計(jì)中的一個(gè)缺陷，稱為依賴混淆。

Birsan說(shuō)，這個(gè)想法是在他與另一位專家Justin Gardner合作時(shí)產(chǎn)生的，Justin Gardner與他共享了一個(gè)清單文件package.json，該清單文件來(lái)自PayPal使用的npm軟件包。在檢查文檔時(shí)，他注意到公共存儲(chǔ)庫(kù)中不存在某些元素，但認(rèn)為除私有NodeJS存儲(chǔ)庫(kù)外，還應(yīng)存在其他具有相同名稱的元素。

簡(jiǎn)單上傳具有相同名稱的偽造軟件包就足以破壞流程。Birsan指出，在某些情況下，他必須添加更高的版本號(hào)才能實(shí)現(xiàn)自己想要的功能，僅此而已。

幸運(yùn)的是，在這種情況下，插入的惡意軟件是無(wú)害的，因?yàn)锳lex的目標(biāo)只是警告公司。入侵得到確認(rèn)后，這位科學(xué)家因發(fā)現(xiàn)錯(cuò)誤而獲得了13萬(wàn)多美元的獎(jiǎng)勵(lì)-蘋(píng)果公司已經(jīng)保證將補(bǔ)充該獎(jiǎng)項(xiàng)。

責(zé)任編輯：lq