虚拟安全研究人员通过发现大型公司使用的开源程序中的一个简单漏洞,已经取得了相当大的成就。根据BleepingComputer的说法,Alex Birsan入侵了大约35个组织,包括苹果,特斯拉,贝宝,微软,Shopify,Netflix,Yelp和Uber等巨头。最令人印象深刻?与采用社会工程技术的其他类型的攻击不同,他的方法不需要受影响公司的员工进行任何疏忽。
许多人使用公共存储库来执行公司操作,例如PyPI,npm和RubyGems,而这正是他用来构造入侵的依据,因为实现是为内部应用程序自动分发的。
根据他的分析,该科学家发送了恶意代码,这些恶意代码得以传播,并且该行为揭示了开源生态系统设计中的一个缺陷,称为依赖混淆。
Birsan说,这个想法是在他与另一位专家Justin Gardner合作时产生的,Justin Gardner与他共享了一个清单文件package.json,该清单文件来自PayPal使用的npm软件包。在检查文档时,他注意到公共存储库中不存在某些元素,但认为除私有NodeJS存储库外,还应存在其他具有相同名称的元素。
简单上传具有相同名称的伪造软件包就足以破坏流程。Birsan指出,在某些情况下,他必须添加更高的版本号才能实现自己想要的功能,仅此而已。
幸运的是,在这种情况下,插入的恶意软件是无害的,因为Alex的目标只是警告公司。入侵得到确认后,这位科学家因发现错误而获得了13万多美元的奖励-苹果公司已经保证将补充该奖项。
责任编辑:lq
-
应用程序
+关注
关注
37文章
3172浏览量
57100 -
软件包
+关注
关注
0文章
92浏览量
11482
发布评论请先 登录
相关推荐
研究人员利用人工智能提升超透镜相机的图像质量
![<b class='flag-5'>研究人员</b>利用人工<b class='flag-5'>智能</b>提升超透镜相机的图像质量](https://file1.elecfans.com//web2/M00/EC/96/wKgZomZnf4WANY8LAAOx39ohSPY736.jpg)
研究人员发现提高激光加工分辨率的新方法
![<b class='flag-5'>研究人员</b>发现提高激光加工分辨率的新方法](https://file1.elecfans.com//web2/M00/CC/31/wKgZomYgTWuAcGQHAAIBGrGIjdE117.jpg)
随机通信下多智能体系统的干扰攻击影响研究
![随机通信下多<b class='flag-5'>智能</b>体系统的干扰<b class='flag-5'>攻击</b>影响<b class='flag-5'>研究</b>](https://file1.elecfans.com/web2/M00/C3/2D/wKgaomXhRU6ASBw6AABNmaUNhkg442.png)
SC23 | 研究人员竞相使用 NVIDIA CUDA Quantum 大力推进研究工作
![SC23 | <b class='flag-5'>研究人员</b>竞相使用 NVIDIA CUDA Quantum 大力推进<b class='flag-5'>研究</b>工作](https://file1.elecfans.com//web2/M00/B0/04/wKgZomVTY5qAV8TcAAIMIbrX2wE871.jpg)
谷歌研究人员利用现有的耳机来测量心率
研究人员发现了迄今为止最快的半导体
加州大学研究人员推出首款稳定的全固态热晶体管
小到一个分子!研究人员开发一种微小的压电电阻器
浅谈2023年10种新兴威胁趋势和黑客攻击手法
研究人员使用二氧化硅和金属有机框架等材料吸收水蒸气方法
GPU发起的Rowhammer攻击常见问题
新唐对应四大物联网安全攻击的保护措施
研究人员制造出直径近30厘米的光学超表面
![<b class='flag-5'>研究人员</b>制造出直径近30厘米的光学超表面](https://file1.elecfans.com//web2/M00/8F/85/wKgZomTQKf6AT7CzAABAE6yKjnA91.jpeg)
评论