Microsoft снова успешно атакована с помощью атаки Dependency Hijacking.
В феврале 2021 года исследователь сообщил, что взломал 35 крупных технических компаний, включая Microsoft, используя уязвимость dependency confusion.
В этом месяце другой исследователь проводил аудит пакета с исходным открытым кодом SymphonyElectron на наличие багов и обнаружил зависимость, которую использовал пакет.
Зависимость называлась swift-search, но ее не было реестре npmjs.com. Исследователь зарегистрировал ее там.
После этого он стал получать сообщения с серверов Microsoft.
Дальнейшее расследование показало, что Microsoft была успешно атакована его атакой dependency hijacking.