«Белый» хакер Алекс Бирсан смог взломать Apple, Microsoft, Netflix, Tesla, Uber PayPal и ещё около трёх десятков американских компаний, использовав очень простой и эффективный ход. Если бы его находкой воспользовались злоумышленники, это могло причинить огромный ущерб как самим корпорациям, так и пользователям их сервисов.
Бирсан загрузил в репозиториии для проектов с открытым исходным кодом вредоносные файлы, которые затем автоматически загрузились на корпоративные сервера компаний и были точно так же автоматически и без проверки внедрены в их ПО.
В отличие от традиционных хакерских атак, метод Бирсана не потребовал ни удалённого взлома компьютерных систем, ни применения навыков социальной инженерии. Всё, что сделал ИБ-специалист, — загрузил вирус в общедоступные ресурсы. Никаких действий со стороны жертв его атаки тоже не потребовалось, поскольку для экономии времени и других ресурсов у компаний настроено автоматическое внедрение оупенсорсных компонентов.
Бирсан рассказал изданию Bleeping Computer, что идея организации такой атаки пришла к нему в прошлом году, когда другой ИБ-специалист Джастин Гарднер поделился с ним manifest-файлом package.json из npm-пакета, использующегося внутри компьютерной системы PayPal. Бирсан заметил, что некоторые пакеты manifest-файлов отсутствуют в публичном npm-репозитории, хотя используются и хранятся на внутреннем сервере PayPal. Тогда ему стало интересно, какой именно файл получит более высокий приоритет — из публичного или внутреннего репозитория.
Оказалось, что таким образом можно изменять данные на сервере компании, заливая в репозиторий файлы с теми же именами, что уже содержатся там. Публично доступные файлы обладают более высоким приоритетом, поэтому фейк просто скачивается в закрытую компьютерную систему, заменяя собой оригинал. В некоторых случаях для того, чтобы файл скачался, требовалось указать, что у него более поздняя модификация.
Само собой, «вредоносными» файлы Бирсана были лишь номинально, в реальности они не наносили никакого вреда компьютерам взломанных компаний. Сейчас уязвимости репозиториев и корпоративных компьютерных систем устранена, а добрый хакер получил за свои труды более 130 тысяч долларов (почти 10 миллионов рублей).
