Исследователю кибербезопасности Алексу Бирсану удалось проникнуть во внутренние системы более 35 компаний. Среди них Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla, Uber. Большинство компаний в списке имеют более 1000 сотрудников.
Основным элементом атаки стал подход Dependency Confusion, а сама атака представляла собой популярный в последнее время способ проникновения, атакуя не систему желаемой компании, а систему поставщика сервисов для нее. Подобную атаку еще называют атакой на цепь поставок.
Эксперту удалось загрузить вредоносное программное обеспечение в репозитории с открытым исходным кодом, включая PyPI, npm, RubyGems. Из этих репозиториев вредоносный код автоматически распространился на внутреннее программное обеспечение компаний-жертв. При этом не нужна была социальная инженерия или использование троянцев для загрузки вредоносного кода в их системы.
Бирсану удалось создать фальшивые проекты, которые используют одинаковые названия с легальными репозиториями. При этом приложения автоматически подключают такие репозитории без необходимости действий от разработчика. В некоторых случаях, например с пакетами PyPI, система давала более новой версии больший приоритет независимо от ее места размещения.
Интересно, что когда Бирсан в августе 2020 года проводил подготовку ко взлому, он предупредил Apple о возможном векторе атаки. В Apple посчитали, что последствия такой атаки будут небольшими: «Получить бэкдор в рабочем сервисе требует более сложной цепочки событий и является очень особым условием, которое несет дополнительные коннотации».
Бирсан сообщил о своей находке все компании, в которые ему удалось проникнуть. Некоторые выплатили ему вознаграждение, самый большой чек дала Microsoft на сумму $40 000. Apple, Shopify, PayPal заплатили каждая по $30 000. Бирсан говорит, что компании награждали его по максимуму или даже больше, чем позволяли их программы вознаграждения за найденные баги.