Un investigador de amenazas digitales burló la seguridad de 35 grandes corporaciones según un informe publicado el 10 de febrero. Alex Birsan, el autor del ataque advirtió a las empresas que probaría su seguridad sin dar detalles de cómo o cuándo lo haría.
Logró las tareas lanzando un modo de ataque relativamente simple: reemplazó los paquetes de códigos privados activados rutinariamente por los servidores por paquetes de códigos públicos. Al buscar un paquete de código, los sistemas automatizados que utilizan las empresas acceden a los repositorios públicos. Si se requiere un módulo Javascript, Ruby o Python para ejecutar una función en particular, los servidores de la empresa cambiarán automáticamente un módulo público por uno interno si detecta un paquete con el mismo nombre que cree que es una versión más nueva.
Según Birsain, con esto “expuso vulnerabilidades de diseño en herramientas de instalación o compilación automatizadas que]pueden hacer que las dependencias públicas se confundan con dependencias internas con el mismo nombre exacto”
Birsan aprovechó esta vulnerabilidad al inyectar código en paquetes almacenados en repositorios públicos como GitHub. Llamó a la duplicación intencional de nombres y el posterior intercambio de archivos ‘confusión de dependencia’.
El código no era malicioso; solo recuperó información básica sobre cada computadora a la que afectaba su código, incluido el nombre de usuario, el nombre de host y la ruta actual de cada instalación única. El programa notificó al autor cuando las empresas objetivo activaron su código .
A cambio de esto cobró dinero en efectivo como recompensa por errores que las empresas pagan a los investigadores que descubren vulnerabilidades. El total de varias empresas que le pagaron superó los 130.000 dólares.
La mayoría de las empresas afectadas pudieron parchear rápidamente sus sistemas tras la notificación de la infracción.
