보안 연구원은 소프트웨어 공급망 공격(경 삐삐 컴퓨터 ).
보안 연구원 알렉스 비르산 Apple, Microsoft, PayPal, Shopify, Netflix, Yelp, Tesla 및 Uber와 같은 회사의 시스템을 공격하기 위해 '종속성 혼란'이라는 일부 오픈 소스 생태계의 고유한 설계 결함을 악용할 수 있었습니다.
이 공격에는 PyPI, npm 및 RubyGems를 포함한 오픈 소스 리포지토리에 맬웨어를 업로드하는 것이 포함되었으며, 이 리포지토리는 다양한 회사의 내부 애플리케이션으로 다운스트림으로 자동 배포되었습니다. 피해자는 소셜 엔지니어링이나 트로이 목마 없이 자동으로 악성 패키지를 받았습니다.
Birsan은 각각 면책 조항 메시지가 포함된 오픈 소스 리포지토리에서 동일한 이름을 사용하여 위조 프로젝트를 생성할 수 있었고 개발자의 조치 없이 애플리케이션이 자동으로 공개 종속성 패키지를 가져오는 것을 발견했습니다. PyPI 패키지와 같은 일부 경우에는 위치에 관계없이 더 높은 버전의 패키지가 우선 적용됩니다. 이를 통해 Birsan은 여러 회사의 소프트웨어 공급망을 성공적으로 공격할 수 있었습니다.
그의 구성 요소가 기업 네트워크에 성공적으로 침투했음을 확인하자 Birsan은 발견한 내용을 문제의 회사에 보고했으며 일부는 버그 포상금으로 그에게 보상했습니다. 마이크로소프트는 그에게 최대 $40,000의 버그 포상금을 수여하고 이 보안 문제에 대한 백서를 발표했습니다. 블리핑컴퓨터 Birsan은 문제를 책임감 있게 공개한 것에 대해 Apple Security Bounty 프로그램을 통해 보상을 받게 됩니다. Birsan은 현재 버그 바운티 프로그램과 사전 승인된 침투 테스트 계약을 통해 130,000달러 이상의 수익을 올렸습니다.
공격 배후의 방법론에 대한 전체 설명은 다음과 같습니다. Alex Birsan's에서 사용 가능 중간 페이지 .
태그: 사이버 보안 , 버그 현상금
인기 게시물