虚拟安全研究人员通过发现大型公司使用的开源程序中的一个简单漏洞,已经取得了相当大的成就。根据BleepingComputer的说法,Alex Birsan入侵了大约35个组织,包括苹果,特斯拉,贝宝,微软,Shopify,Netflix,Yelp和Uber等巨头。最令人印象深刻?与采用社会工程技术的其他类型的攻击不同,他的方法不需要受影响公司的员工进行任何疏忽。

许多人使用公共存储库来执行公司操作,例如PyPI,npm和RubyGems,而这正是他用来构造入侵的依据,因为实现是为内部应用程序自动分发的。
根据他的分析,该科学家发送了恶意代码,这些恶意代码得以传播,并且该行为揭示了开源生态系统设计中的一个缺陷,称为依赖混淆。
Birsan说,这个想法是在他与另一位专家Justin Gardner合作时产生的,Justin Gardner与他共享了一个清单文件package.json,该清单文件来自PayPal使用的npm软件包。在检查文档时,他注意到公共存储库中不存在某些元素,但认为除私有NodeJS存储库外,还应存在其他具有相同名称的元素。
简单上传具有相同名称的伪造软件包就足以破坏流程。Birsan指出,在某些情况下,他必须添加更高的版本号才能实现自己想要的功能,仅此而已。
幸运的是,在这种情况下,插入的恶意软件是无害的,因为Alex的目标只是警告公司。入侵得到确认后,这位科学家因发现错误而获得了13万多美元的奖励-苹果公司已经保证将补充该奖项。
消息,Gnosis Pay最近披露了一项软件漏洞,该漏洞自2023年10月以来一直存在,导致其卡安全基础...
2 黑石BTC连续10个交易日流出35980枚,价值约消息,黑石的比特币流出已连续10个交易日,共计流出35,980枚,按当前价格计算,价值约22.4亿...
3 未知钱包转入1625枚BTC,价值约1010万美元消息,据Whale Alert监测,未知钱包刚刚转入1,625枚BTC,按实时价格计算约合1010.48万美元。...
4 CryptoQuant:6月30日比特币流入交易所接近消息,据CryptoQuant研究主管Julio Moreno表示,6月30日比特币流入交易所数量接近4.9万枚BTC,为今年...
5 Robinhood进入竞争激烈的代币化股票市场消息,Robinhood最近进入了一个价值约12.4亿美元的代币化股票市场,但在初始阶段并未占有市场...
6 三星与OUSD稳定币创始联盟保持距离消息,三星已与OUSD稳定币创始联盟保持距离,尽管该公司曾被列为超过140个合作伙伴之一。根...
7 Michael Nadeau:以太坊Q2链上收益率降至2.消息,吴说获悉,the DEFI report创始人Michael Nadeau发文称,以太坊网络在2026年第二季度的总链上...
8 SemiAnalysis:SPHBM4将AI芯片工程负担转移至消息,SemiAnalysis在X平台表示,SPHBM4将AI芯片的复杂工程负担转移至基板层,芯片制造商转向购...
9 Bitmart推出独立Web3钱包BM Wallet App消息,据Bitmart官方消息,独立Web3钱包BM Wallet App正式上线。该钱包基于外部拥有账户体系构建...
10 2026年下半年区块链升级聚焦协议性能与基消息,2026年下半年,重点区块链升级将集中在协议性能、可靠性和机构级基础设施。文章列出...
成都来彰科技 蜀ICP备2025134723号-1
资讯来源互联网,如有版权问题请联系管理员删除。