memo-x

Berita, komentar, dan fitur terbaru dari The Memo X

Peneliti melanggar sistem lebih dari 35 perusahaan, termasuk Apple, Microsoft, dan PayPal

Seorang peneliti keamanan berhasil menembus sistem internal lebih dari 35 perusahaan besar, termasuk Apple, Microsoft, dan PayPal, menggunakan serangan terhadap rantai pasokan perangkat lunak (melalui Komputer tidur).

Peneliti keamanan Alex Pearsan Itu berhasil mengeksploitasi cacat desain unik di beberapa ekosistem open source yang disebut “kebingungan ketergantungan” untuk menyerang sistem perusahaan seperti Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla, dan Uber.

Serangan tersebut melibatkan pengunggahan malware ke repositori open source termasuk PyPI, npm, dan RubyGems, yang kemudian secara otomatis didistribusikan di aplikasi internal berbagai perusahaan. Korban secara otomatis menerima paket berbahaya, tanpa perlu manipulasi psikologis atau trojan.

Persan mampu membuat proyek palsu menggunakan nama yang sama di repositori open source, masing-masing berisi pesan penafian, dan menemukan bahwa aplikasi akan secara otomatis menarik paket dependensi generik, tanpa memerlukan tindakan apa pun dari pengembang. Dalam beberapa kasus, seperti paket PyPI, paket versi yang lebih tinggi akan diberikan prioritas di mana pun lokasinya. Ini memungkinkan Persan untuk berhasil menyerang rantai pasokan perangkat lunak dari banyak perusahaan.

Setelah memverifikasi bahwa komponennya telah berhasil menyusup ke jaringan perusahaan, Pirsan melaporkan temuannya kepada perusahaan tersebut, dan beberapa menghadiahinya dengan hadiah palsu. Microsoft memberinya hadiah kesalahan tertinggi sebesar $ 40.000 dan merilis buku putih tentang masalah keamanan ini, sementara Apple mengatakan Komputer Pearsan akan mendapatkan hadiah melalui program Apple Security Bounty karena telah mengungkapkan masalah tersebut secara bertanggung jawab. Pearsan sekarang telah menghasilkan lebih dari $ 130K melalui program bug bounty yang telah disetujui sebelumnya dan pengaturan pengujian penetrasi.

Penjelasan lengkap tentang metodologi di balik serangan itu Tersedia di Alex Birsan’s Rata-rata halaman.

READ  Review film Assassins - Dokumen pembunuhan Korea Utara sangat sukses