Seorang peneliti berhasil menembus lebih dari 35 sistem internal perusahaan besar, termasuk Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla, dan Uber, dalam serangan rantai pasokan perangkat lunak baru.
Serangan itu terdiri dari mengunggah malware ke repositori open source termasuk PyPI, npm, dan RubyGems, yang kemudian didistribusikan secara otomatis ke dalam aplikasi internal perusahaan.
Tidak seperti serangan typosquatting tradisional yang mengandalkan taktik rekayasa sosial atau korban salah mengeja nama paket, serangan rantai pasokan khusus ini lebih canggih karena tidak memerlukan tindakan apa pun dari korban, yang secara otomatis menerima paket berbahaya tersebut.
Ini karena serangan tersebut memanfaatkan cacat desain unik dari ekosistem sumber terbuka yang disebut dependency confusion. Untuk upaya penelitian etisnya, peneliti keamanan Alex Birsan telah menghasilkan lebih dari $130.000 dalam bentuk bug bounty.
Melalui penelitian yang mencakup organisasi besar ini, Birsan mengatakan dia telah membuat perusahaan teknologi terkemuka menyadari jenis serangan ini yang sekarang telah menerapkan semacam mitigasi di seluruh infrastruktur mereka. Namun, peneliti yakin masih banyak yang bisa ditemukan.
Untuk informasi lebih lengkap mengenai temuan Birsan dan bagaimana ia melakukan serangan rantai pasokan yang berhasil terhadap perusahan-perusahaan besar, kunjungi situs di bawah ini.
Selengkapnya: Bleeping Computer
