Der Sicherheitsforscher Alex Birsan war in der Lage, in die internen Systeme von über 35 großen Unternehmen einzudringen, darunter Apple, Microsoft, PayPal und Tesla. Für den Proof-of-Concept versuchte Birsan nicht die Systeme der Firmen direkt zu infizieren, sondern platzierte die Schadsoftware in Open-Source-Bibliotheken.

Software-Verteilung sorgt für schwerwiegende Sicherheitslücke

Mit einem kreativen Trick wollte Alex Birsan große Tech-Firmen vor einer neuartigen Hacking-Möglichkeit warnen. Der Sicherheitsforscher konnte einen Design-Fehler in einigen Open-Source-Ökosystemen ausnutzen, den er als „Dependency Confusion“ bezeichnet, um die Systeme von Unternehmen wie Apple, Microsoft, PayPal, Netflix, Tesla und Uber anzugreifen.

Bei dem Angriff wurde Malware in Open-Source-Repositories wie PyPI, npm und RubyGems hochgeladen, die dann automatisch in die internen Anwendungen der verschiedenen Unternehmen verteilt wurden. Die Opfer erhielten die bösartigen Pakete, ohne dass Social Engineering oder Trojaner erforderlich waren. Die Webseite Bleeping Computer erklärt das Verfahren hier im Detail.

Die gefälschten Pakete waren harmlos und Birsan klärte alle betroffenen Unternehmen über die Sicherheitslücke auf. Die meisten Unternehmen haben die Lücke mittlerweile geschlossen. Da es bei der Aufdeckung solcher Fehler üblich ist, dass die Firmen dem Entdecker ein „Kopfgeld“ zahlen, hat auch Birsan bereits einige solcher Zahlungen erhalten. Bisher sind so Belohnungen in Höhe von insgesamt 130.000 US-Dollar zusammengekommen. Auch Apple hat Birsan eine Zahlung aus dem hauseigenen Bug-Bounty-Programm zugesichert.