據外媒報導，安全研究人員Alex Birsan攻破了數家知名公司的防禦系統並利用一個軟件供應鏈問題將文件上傳到它們的服務器上。這個問題可能會被濫用，在受害者不知情或未經其許可的情況下感染服務器。據悉，受影響的公司包括蘋果、微軟、Netflix、PayPal、Shopify、特斯拉、Yelp以及其他許多可能下載了其有效內容的科技公司。

據了解，Alex Birsan在一些開源生態系統的設計中使用了一個問題，他非正式地稱之為“依賴混淆”。

去年，當Birsan看到一個來自PayPal內部使用的npm包的manifest文件時他想到了這個黑客想法。他發現，有些清單文件包並不存在於公共npm存儲庫中而是由PayPal私人創建。它們為公司使用並儲存。

這名研究人員隨後想知道，他是否可以使用假冒的包來感染服務器，據悉這些包的名稱跟私人包類似但由公共主機託管。然後，他開始尋找其他私有的內部軟件包，這些軟件包並不存在於公共開源存儲庫中。後來，他在包括npm、PyPI和RubyGems在內的開源存儲庫上使用相同的名稱創建了自己的版本。不過Birsan表示，其創建的這些包是用於安全研究項目的，並未包含任何有用的代碼。

結果他發現，使用依賴包的應用會優先考慮託管在公共開源存儲庫中的公共包，而非私人構建的。在某些情況下，具有更高版本的包將被優先考慮，無論它們被託管在哪裡。這就是他的假冒包能夠到達不同公司的服務器的原因。受害者不知道發生了什麼，Birsan也不需要設計任何黑客手段來說服員工下載他的軟件包。“成功率簡直非常驚人。”

Birsan表示，蘋果向其確認，通過npm包技術在蘋果服務器上遠程執行代碼是可能的。

眼下，這些公司都得到了有關這項研究的通知並為找到漏洞向Birsan支付了漏洞賞金。據了解，Birsan從自己的研究中至少賺了13萬美元，其中有4萬美元來自微軟的4萬美元，3萬美元來自蘋果。