Un investigador en seguridad logró vulnerar los sistemas internos de más de 35 grandes empresas, entre las que se encontraban Apple, Microsoft, Tesla, Netflix, Uber y PayPal, a través de un ataque a la cadena de suministro de software.
El investigador Alex Birsan fue capaz de explotar un fallo de diseño único en algunos ecosistemas de código abierto conocido como “confusión de dependencia” para atacar los sistemas de estas empresas.
¿Cómo lo consiguió?
El ataque consistía en subir malware a repositorios de código abiertos, que luego se distribuían de manera automática en las aplicaciones internas de las empresas.
Las víctimas recibían automáticamente los paquetes maliciosos sin necesidad de ingeniería social o troyanos.
Birsan pudo crear proyectos falsos al usar los mismos nombres en los repositorios de código abierto, cada uno de ellos con un mensaje de exención de responsabilidad.
Así descubrió que las aplicaciones sacaban automáticamente los paquetes de dependencia pública, sin necesidad de ninguna acción por parte del desarrollador.
De esta forma, Birsan pudo atacar con éxito la cadena de suministro de software de varias compañías.
Por supuesto, una vez que descubrió que su componente se había logrado infiltrar con éxito en la red de la empresa, Birsan informó de sus hallazgos a la compañía involucrada.
Algunas de ellas, incluso, lo recompensaron por el fallo descubierto. Microsoft, por ejemplo, le otorgó 40 mil dólares, además de publicar un libro blanco sobre este problema de seguridad.
Apple, por su parte, anunció que también le entregaría una recompensa al investigador por revelar el problema de forma responsable.
