Исследователь безопасности Алекс Бирсан (Alex Birsan) обнаружил серьезные нарушения в работе сервисов Microsoft, Netflix, Apple, Tesla и Uber. Проблема заключается в использовании программного обеспечения с открытым исходным кодом. Об этом сообщает 9to5Mac со ссылкой на портал Bleeping Computer.
Источник изображения: Алекс Бирсан
Атака включает в себя загрузку вредоносных программ в репозитории с открытым исходным кодом (такие как PyPI, npm и RubyGems), которые используются многими технологическими компаниями. В отличие от традиционных хакерских атак, этот метод не требует социальной инженерии и вмешательства других людей, кроме самого хакера.
Процесс загрузки происходит автоматически — вам просто нужно подделать название вредоносной программы под название программного пакета, находящегося в репозитории. Затем добавьте номер версии, который будет выше текущего. Эта функция существует из-за путаницы в зависимости файлов репозитория. Проще говоря, для того, чтобы все элементы программного обеспечения работали вместе, необходимо поддерживать целостность, поэтому репозитории при загрузке вредоносных пакетов принимают их как часть обновления и устанавливают.
Конечно, Алекс загружал пакеты в репозитории без какого-либо вредоносного кода, но с помощью своего эксперимента он смог указать на недостатки безопасности ИТ-гигантам и помочь им их исправить. На данный момент он получил вознаграждение в размере 130 тысяч долларов. Apple говорит, что скоро также заплатит мастеру за его работу.