Досліднику кібербезпеки Алексу Бірсану вдалося проникнути у внутрішні системи понад 35 компаній. Серед них – Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla, Uber. Більшість компаній у списку мають понад 1000 працівників.
Основним елементом атаки став підхід Dependency Confusion, а сама атака являла собою популярний останнім часом спосіб проникнення, атакуючи не систему бажаної компанії, а систему постачальника сервісів для неї. Подібну атаку ще називають атакою на ланцюг поставок.
Експерту вдалося завантажити шкідливе програмне забезпечення в репозиторії з відкритим вихідним кодом, з PyPI, npm, RubyGems включно. Із цих репозиторіїв шкідливий код автоматично розповсюдився на внутрішнє програмне забезпечення компаній-жертв. При цьому не потрібна була соціальна інженерія чи використання троянців для завантаження шкідливого коду в їхні системи.
Бірсану вдалося створити фальшиві проекти, які використовують однакові назви з легальними репозиторіями. При цьому додатки автоматично підключають такі репозиторії без необхідності дій від розробника. У деяких випадках, наприклад з пакетами PyPI, система давала новішій версії більший приорітет незалежно від її місця розміщення.
Цікаво, що коли Бірсан у серпні 2020 року проводив підготовку до злому, він попередив Apple про можливий вектор атаки. В Apple вирішили, що наслідки такої атаки будуть невеликими: «отримати бекдор у робочому сервісі вимагає складнішого ланцюжка подій і є дуже особливою умовою, яка несе додаткові конотації».
Бірсан повідомив про свою знахідку всі компанії, в які йому вдалося проникнути. Деякі виплатили йому винагороду, найбільший чек дала Microsoft на суму $40 000. Apple, Shopify, PayPal заплатили кожна по $30 000. Бірсан каже, що компанії нагороджували його максимально або навіть більше, ніж дозволяли їхні програми винагороди за знайдені баги.