Исследователь заявил, что взломал внутренние системы крупных компаний, включая Apple и Microsoft. Он использовал атаку на цепочку поставок.
Алекс Брайан создал вредоносные пакеты и загрузил их в реестр npm. Пакеты собирали информацию через предустановленный скрипт касательно оборудования, на котором они были установлены. Далее Брайан придумал способ, как пакеты будут пересылать информацию ему обратно.
Брайан сообщил, что счел эксфильтрацию DNS приемлемым способом взлома.
Данные были закодированы и использовались как часть запроса DNS, который достигает сервер исследователя либо напрямую, либо через промежуточные преобразователи. Затем Брайан нашел имена пакетов в файлах JavaScript.
Во второй половине 2020 года Брайан просканировал миллионы доменов и извлек сотни имен пакетов JavaScript, которые не были заявлены в реестре npm. Исследователь загрузил вредоносный код на хостинговые сервисы. Операция оказалась успешной.
Такая уязвимость была обнаружена более чем в 35 компаниях.