Dem Sicherheitsforscher Alex Birsan ist es in den USA gelungen, mit vergleichsweise simplen Mitteln in die internen Systeme von mehr als 35 großen Unternehmen, darunter Apple, Tesla, Microsoft und PayPal einzudringen (via Bleeping Computer). Dabei nutzte er eine einzelne Sicherheitslücke in einem Zusammenspiel verschiedener Open-Source-Anwendungen namens "Dependency Confusion" aus. Hierbei hat Birsan eine Malware in Open-Source-Repositories wie PyPI, npm oder RubyGems eingeschleust, die sich dann in die internen Systeme der Unternehmen weiterverbreiteten. Das Perfide dabei: Auf den betroffenen werden die aktualisierten Pakete austomatisch per Update installiert, ohne dass der nutzer hiervon etwas mitbekommt, Trojaner eingeschleust werden müssen oder Social Engineering angewandt werden muss.

Dabei machte sich der Sicherheitsforscher das Aktualisierungskonzept mancher Open-Source-Repositories zunutze. Beispielsweise ist es beim Paket PyPI so, das grundsätzlich jedes Paket mit einer neueren als der aktuell installierten Versionsnummer heruntergladen wird, unabhängig davon, wo es im Internet angeboten wird. Eine durchaus bemerkenswerte Gefahr, die auch für viele andere Nutzer ein Problem darstellen kann. Nach dem erfolgreichen Angriff auf die Systeme informierte der Sicherheitsforscher die betroffenen Unternehmen und wies sie auf das Problem hin. Teilweise erhielt er hierfür sogar Belohnungen, wie etwa 40.000,- US-Dollar von Microsoft oder einen nicht näher bezifferten Betrag aus Apples Security Bounty Program. Insgesamt soll birsan auf diese Weise  mehr als 130.000,- Dollar verdient haben. Zurecht, wenn man mich fragt.

Wer sich für die Details der ausgenutzten Sicherheitslücke interessiert, findet diese auf Alex Birsans Medium Page.