Un ricercatore di minacce digitali ha aggirato la sicurezza di 35 grandi aziende secondo un rapporto pubblicato il 10 febbraio. Alex Birsan, l’autore dell’attacco, ha avvertito le aziende che avrebbe testato la loro sicurezza senza fornire dettagli su come o quando lo avrebbe fatto.
Ha portato a termine i compiti lanciando una modalità di attacco relativamente semplice. Ha sostituito i pacchetti di codice privato attivati di routine dai server con pacchetti di codice pubblico. Durante la ricerca di un pacchetto di codice, i sistemi automatizzati utilizzati dalle aziende accedono ai repository pubblici. Se è richiesto un modulo Javascript, Ruby o Python per eseguire una particolare funzione, i server dell’azienda cambieranno automaticamente un modulo pubblico in uno interno se rileva un pacchetto con lo stesso nome che pensa sia una versione più recente.
Secondo Birsain, queste “vulnerabilità di progettazione esposte nell’installazione automatica o negli strumenti di compilazione possono causare la confusione delle dipendenze pubbliche con le dipendenze interne con lo stesso identico nome”.
Birsan ha sfruttato questa vulnerabilità iniettando codice in pacchetti archiviati in repository pubblici come GitHub. Ha chiamato la duplicazione intenzionale dei nomi e la successiva condivisione di file “confusione di dipendenza”.
Il codice non era dannoso. Recuperava solo le informazioni di base su ciascun computer interessato dal codice, inclusi nome utente, nome host e percorso corrente per ciascuna installazione univoca. Il programma ha informato l’autore quando le aziende target hanno attivato il loro codice.
In cambio, ha chiesto una ricompensa in contanti per gli errori che le aziende pagano ai ricercatori che scoprono le vulnerabilità. Il totale delle varie società che lo hanno pagato ha superato i 130.000 dollari.
La maggior parte delle aziende interessate (tra queste anche Tesla, Apple, Microsoft, Netflix e PayPal) è stata in grado di applicare rapidamente patch ai propri sistemi previa notifica della violazione.