虚拟安全研究人员通过发现大公司使用的开源程序中的一个简单漏洞，取得了巨大的成就。据BleepingComputer报道，Alex Birsan入侵了约35家组织，包括苹果、特斯拉、paypal、微软、Shopify、网飞、Yelp和优步等巨头。印象最深刻的？与使用社会工程技术的其他类型的攻击不同，他的方法不要求受影响公司的员工有任何疏忽。

许多人使用公共存储库来执行公司操作，例如PyPI、npm和RubyGems，这是构建入侵的基础，因为实现是为内部应用程序自动分发的。

根据他的分析，这位科学家发送了恶意代码，并被传播，这种行为暴露了开源生态系统设计中的一个缺陷，称为依赖混淆。

Birsan说，这个想法是在他与另一位专家Justin Gardner合作时产生的，Justin Gardner与他共享了一个manifest file package.json，它来自PayPal使用的npm软件包。在检查文档时，他注意到一些元素在公共存储库中不存在，但认为除了私有NodeJS存储库之外，应该还有其他同名的元素。

简单地上传同名的假包就足以破坏这个过程。Birsan指出，在某些情况下，他必须添加更高的版本号才能实现所需的功能，仅此而已。

幸运的是，在这种情况下，插入的恶意软件是无害的，因为亚历克斯的目标只是警告公司。在入侵被证实后，这位科学家因发现错误而获得了超过13万美元的奖励——苹果已经承诺补充这一奖励。