虛擬安全研究人員通過發現大型公司使用的開源程序中的一個簡單漏洞，已經取得了相當大的成就。根據BleepingComputer的說法，Alex Birsan入侵了大約35個組織，包括蘋果，特斯拉，貝寶，微軟，Shopify，Netflix，Yelp和Uber等巨頭。最令人印象深刻？與采用社會工程技術的其他類型的攻擊不同，他的方法不需要受影響公司的員工進行任何疏忽。

　　許多人使用公共存儲庫來執行公司操作，例如PyPI，npm和RubyGems，而這正是他用來構造入侵的依據，因為實現是為內部應用程序自動分發的。

　　根據他的分析，該科學家發送了惡意代碼，這些惡意代碼得以傳播，并且該行為揭示了開源生態系統設計中的一個缺陷，稱為依賴混淆。

　　Birsan說，這個想法是在他與另一位專家Justin Gardner合作時產生的，Justin Gardner與他共享了一個清單文件package.json，該清單文件來自PayPal使用的npm軟件包。在檢查文檔時，他注意到公共存儲庫中不存在某些元素，但認為除私有NodeJS存儲庫外，還應存在其他具有相同名稱的元素。

　　簡單上傳具有相同名稱的偽造軟件包就足以破壞流程。Birsan指出，在某些情況下，他必須添加更高的版本號才能實現自己想要的功能，僅此而已。

　　幸運的是，在這種情況下，插入的惡意軟件是無害的，因為Alex的目標只是警告公司。入侵得到確認后，這位科學家因發現錯誤而獲得了13萬多美元的獎勵-蘋果公司已經保證將補充該獎項。