原标题:安全研究人员发现漏洞:攻破包括苹果在内的35家大公司
据外媒报道,一名安全研究人员利用软件供应链攻击攻破了超过 35 家大公司的内部系统,包括苹果、微软和 PayPal。
安全研究员 Alex Birsan 能够利用一些开源生态系统中独特的设计缺陷“依赖混淆”来攻击苹果、微软、PayPal、Shopify、Netflix、Yelp、特斯拉和优步(Uber)等公司的系统。

攻击包括将恶意软件上传到开源存储库,包括 PyPI、NPM 和 RubyGems,然后这些恶意软件会自动向下分发到各个公司的内部应用中。受害者自动收到恶意包,不需要社会工程或特洛伊木马程序。
在核实他的组件已经成功渗透到公司网络后,Birsan 向有问题的公司报告了他的发现,一些公司还奖励了他一笔漏洞赏金。微软给予他 4 万美元的最高漏洞赏金,并发布了一份关于这一安全问题的白皮书,而 Birsan 将通过苹果安全赏金计划获得奖励,因为他负责任地披露了这一问题。
责任编辑: