- Регистрация
- 19.09.19
- Сообщения
- 150
- Реакции
- 2,264
Исследователь в области кибербезопасности Алекс Бирсан придумал необычный вектор атаки на технологические компании, пользующиеся инструментами с открытым исходным кодом.
Многие IT-гиганты устанавливают пакеты из общедоступных репозиториев (таких как PyPI, npm и RubyGems).
Для взлома ему будет достаточно создать зависимость с таким же именем, но указать более новую версию. Тогда целевая система сочтет, что вышло "обновление", и загрузит вредоносный код.
По словам Бирсана, подмена файлов сработала для трех языков программирования — Python, Ruby и Java.
Ему удалось проникнуть во внутренние системы 35 крупных организаций — в том числе Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber.
За помощь в обнаружении недостатков безопасности компании выплатили специалисту вознаграждения на общую сумму $130 000.
Источник: vesti.ru/2522263
Многие IT-гиганты устанавливают пакеты из общедоступных репозиториев (таких как PyPI, npm и RubyGems).
Для взлома ему будет достаточно создать зависимость с таким же именем, но указать более новую версию. Тогда целевая система сочтет, что вышло "обновление", и загрузит вредоносный код.
По словам Бирсана, подмена файлов сработала для трех языков программирования — Python, Ruby и Java.
Ему удалось проникнуть во внутренние системы 35 крупных организаций — в том числе Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla и Uber.
За помощь в обнаружении недостатков безопасности компании выплатили специалисту вознаграждения на общую сумму $130 000.
Источник: vesti.ru/2522263