ఒక భద్రతా పరిశోధకుడు సాఫ్ట్వేర్ సరఫరా గొలుసు దాడిని (ద్వారా) ఉపయోగించి Apple, Microsoft మరియు PayPalతో సహా 35 కంటే ఎక్కువ ప్రధాన కంపెనీల అంతర్గత వ్యవస్థలను ఉల్లంఘించగలిగారు. బ్లీపింగ్ కంప్యూటర్ )
భద్రతా పరిశోధకుడు అలెక్స్ బిర్సన్ Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla మరియు Uber వంటి కంపెనీల సిస్టమ్లపై దాడి చేయడానికి 'డిపెండెన్సీ కన్ఫ్యూజన్' అని పిలువబడే కొన్ని ఓపెన్-సోర్స్ పర్యావరణ వ్యవస్థలలో ప్రత్యేకమైన డిజైన్ లోపాన్ని ఉపయోగించుకోగలిగింది.
దాడిలో PyPI, npm మరియు RubyGems సహా ఓపెన్ సోర్స్ రిపోజిటరీలకు మాల్వేర్ను అప్లోడ్ చేయడం జరిగింది, తర్వాత అవి స్వయంచాలకంగా వివిధ కంపెనీల అంతర్గత అనువర్తనాల్లోకి దిగువకు పంపిణీ చేయబడ్డాయి. బాధితులు స్వయంచాలకంగా హానికరమైన ప్యాకేజీలను స్వీకరించారు, సామాజిక ఇంజనీరింగ్ లేదా ట్రోజన్లు అవసరం లేదు.
బిర్సాన్ ఓపెన్ సోర్స్ రిపోజిటరీలలో అదే పేర్లను ఉపయోగించి నకిలీ ప్రాజెక్ట్లను సృష్టించగలిగాడు, ప్రతి ఒక్కటి నిరాకరణ సందేశాన్ని కలిగి ఉంది మరియు డెవలపర్ నుండి ఎటువంటి చర్య అవసరం లేకుండా అప్లికేషన్లు స్వయంచాలకంగా పబ్లిక్ డిపెండెన్సీ ప్యాకేజీలను లాగుతాయని కనుగొన్నారు. PyPI ప్యాకేజీల వంటి కొన్ని సందర్భాల్లో, అధిక వెర్షన్ ఉన్న ఏదైనా ప్యాకేజీకి అది ఎక్కడ ఉన్నా అది ప్రాధాన్యత ఇవ్వబడుతుంది. ఇది బహుళ కంపెనీల సాఫ్ట్వేర్ సరఫరా గొలుసుపై విజయవంతంగా దాడి చేయడానికి బిర్సాన్ను ఎనేబుల్ చేసింది.
అతని భాగం కార్పొరేట్ నెట్వర్క్లోకి విజయవంతంగా చొరబడిందని ధృవీకరించిన తర్వాత, బిర్సాన్ తన పరిశోధనలను సందేహాస్పద కంపెనీకి నివేదించాడు మరియు కొందరు అతనికి బగ్ బౌంటీని బహుమతిగా ఇచ్చారు. మైక్రోసాఫ్ట్ అతనికి తన అత్యధిక బగ్ బౌంటీ మొత్తాన్ని $40,000 అందించింది మరియు ఈ భద్రతా సమస్యపై శ్వేతపత్రాన్ని విడుదల చేసింది, అయితే ఆపిల్ చెప్పింది బ్లీపింగ్ కంప్యూటర్ ఈ సమస్యను బాధ్యతాయుతంగా బహిర్గతం చేసినందుకు ఆపిల్ సెక్యూరిటీ బౌంటీ ప్రోగ్రామ్ ద్వారా బిర్సాన్ రివార్డ్ను అందుకుంటారు. బిర్సాన్ ఇప్పుడు బగ్ బౌంటీ ప్రోగ్రామ్లు మరియు ప్రీ-అప్రూవ్డ్ పెనెట్రేషన్ టెస్టింగ్ ఏర్పాట్ల ద్వారా $130,000 కంటే ఎక్కువ సంపాదించింది.
దాడి వెనుక ఉన్న పద్దతి గురించి పూర్తి వివరణ Alex Birsan's వద్ద అందుబాటులో ఉంది మధ్యస్థం పేజీ .
టాగ్లు: cybersecurity , bug bounty
ప్రముఖ పోస్ట్లు