Kako prenosi BleepingComputer, istraživač Aleks Birsan uspeo je da otkrije i iskoristi novu vrstu logističkog napada, i tako kompromituje neke od najvećih globalnih tehnoloških kompanija.

Logistički napad (tzv. supply-chain attack) koristi propuste u infrastrukturi i kompromituje razne alate koji se redovno koriste, da bi se time naštetilo ljudima koji te usluge koriste posredno, tj. klijentima. Skorašnji SolarWinds hak primer je ove vrste napada. 

Sve je počelo kada je Birsan primetio privatne PyPI i npm pakete u vlasništvu PayPal-a, kojih nije bilo na javno dostupnim repozitorijumima. Došao je na ideju da sakupi što više naziva takvih paketa s GitHub-a i privatnih CDN servera, i da onda na javno dostupne repozitorijume poput PyPI, npm i RubyGems okači sopstvene verzije.Te verzije su bile modifikovane tako da izvlače podatke čim bi došle na neki računar. 

Uprkos tome što su paketi jasno označeni kao lažni i objavljeni pod njegovim imenom, ispostavilo se da javno dostupni paket tokom instalacije uvek ima prednost nad internom verzijom. U slučaju PyPI paketa, veća verzija uvek je imala prednost. Ovaj napad razotkrio je ozbiljne propuste u strukturi menadžera paketa, kako navodi Majkrosoft u svom članku povodom haka.

Birsan je profesionalni istraživač, i zahvaljujući ovom prodoru preko bug bounty programa zaradio je oko 130 hiljada dolara. Ipak, ne savetuje nikome da samostalno pokušava išta slično: „Važno je napomenuti da su sve organizacije koje su potpale pod ovo istraživanje prethodno dale dozvolu da se ono obavi, ili preko javnih bug bounty objava, ili putem privatnih dogovora. Molim vas, ne pokušavajte ovakvo testiranje bez odobrenja.”