Досліднику кібербезпеки Алексу Бірсану вдалося проникнути у внутрішні системи понад 35 компаній. Серед них Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla, Uber. Більшість компаній у списку мають понад 1000 працівників.
Основним елементом атаки став підхід Dependency Confusion, а сама атака представляла собою популярний останнім часом спосіб проникнення, атакуючи не систему бажаної компанії, а систему постачальника сервісів для неї. Подібну атаку ще називають атакою на ланцюг поставок.
Експерту вдалося завантажити шкідливе програмне забезпечення в репозиторії з відкритим вихідним кодом, включаючи PyPI, npm, RubyGems. З цих репозиторіїв шкідливий код автоматично розповсюдився на внутрішнє програмне забезпечення компаній-жертв. При цьому не потрібна була соціальна інженерія чи використання троянців для завантаження шкідливого коду в їхні системи.
Бірсану вдалося створити фальшиві проекти, які використовують однакові назви з легальними репозиторіями. При цьому додатки автоматично підключають такі репозиторії без необхідності дій від розробника. В деяких випадках, наприклад з пакетами PyPI, система давала новішій версії більший приорітет незалежно від її місця розміщення.
Цікаво, що коли Бірсан в серпні 2020 року проводив підготовку до злому, він попередив Apple про можливий вектор атаки. В Apple порахували, що наслідки такої атаки будуть невеликими:”отримати бекдор в робочому сервісі вимагає более складного ланцюжка подій і є дуже особливою умовою, яке несе додаткові конотації”.
Бірсан повідомив про свою знахідку всі компанії, в які йому вдалося проникнути. Деякі виплатили йому винагороду, найбільший чек дала Microsoft на суму $40 000. Apple, Shopify, PayPal заплатили кожна по $30 000. Бірсан каже, що компанії нагороджували його по максимуму або навіть більше, ніж дозволяли їх програми винагороди за знайдені баги.
