安全研究人员找到在苹果、PayPal 和微软系统上运行代码的方法

图片地址：https://img.ithome.com/newsuploadfiles/2021/2/20210211_081031_545.0.jpg

IT之家 2 月 11 日消息 安全研究人员 Alex Birsan 发现了一个安全漏洞，允许他在苹果、微软、PayPal 和其他 30 多家公司拥有的服务器上运行代码。该漏洞利用了一个相对简单的技巧：用公共软件包替换私有软件包。公司在构建程序的时候，往往会使用其他人编写的开源代码，所以他们不会花费时间和资源去解决一个已经解决的问题。在 NodeJS 的 npm、PyPi 的 PyPi 和 Ruby 的 RubyGems 等资源库上都可以找到这些公开的程序。值得注意的是，Birsan 发现这些资源库可以用来进行这种攻击，但并不限于这三种。IT之家了解到，除了这些公开的包，公司往往会建立自己的私有包，他们不会上传，而是在自己的开发者中分发。Birsan 就是在这里发现了这个漏洞。他发现，如果他能找到公司使用的私有包的名称（大多数情况下是非常容易的），他就可以把自己的代码上传到一个同名的公共仓库中，公司的自动化系统就会使用