Привет!
О важности анализа компонент ПО много и часто говорят. И не зря! По ссылке приведена очень интересная история, о том что может пойти не так, если не контролировать что находится в ПО и как оно туда попадает.
Что сделал автор?
🍭 Получил package.json, который содержал перечень npm-пакетов, используемых PayPal
🍭 Обратил внимание, что часть пакетов является private (отсутствовали в public репозиториях)
🍭 Создал собственные версии указанных пакетов в public репозиториях с указанием идентичных имен
🍭 Исследователь отметил, что при наличии идентичного пакета в public/private репозитории «выиграет» public. Иногда «выигрывает» бОльшая версия пакета
🍭 Собрал немного данных у Компании с помощью data exfiltration через DNS. Как? Ответ находится в статье ☺️
Аналогичный "трюк" он провернул с Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp и Uber 😊
О важности анализа компонент ПО много и часто говорят. И не зря! По ссылке приведена очень интересная история, о том что может пойти не так, если не контролировать что находится в ПО и как оно туда попадает.
Что сделал автор?
🍭 Получил package.json, который содержал перечень npm-пакетов, используемых PayPal
🍭 Обратил внимание, что часть пакетов является private (отсутствовали в public репозиториях)
🍭 Создал собственные версии указанных пакетов в public репозиториях с указанием идентичных имен
🍭 Исследователь отметил, что при наличии идентичного пакета в public/private репозитории «выиграет» public. Иногда «выигрывает» бОльшая версия пакета
🍭 Собрал немного данных у Компании с помощью data exfiltration через DNS. Как? Ответ находится в статье ☺️
Аналогичный "трюк" он провернул с Microsoft, Apple, PayPal, Shopify, Netflix, Tesla, Yelp и Uber 😊