セキュリティ研究者のアレックス・バーサン氏は、Apple、Microsoft、PayPal、Spotify、Netflixなどを含む35社以上の社内システムに侵入することに成功しました。彼はバグ報奨金プログラムと事前承認された侵入テスト契約を通じてこれを成し遂げました（つまり、彼は善玉の一人です）。彼は10万ドル以上の報奨金を獲得しました。

この攻撃は、PyPI、npm、RubyGems などのオープンソース リポジトリにマルウェアをアップロードし、それが下流の会社の内部アプリケーションに自動的に配布されるというものでした。

ソーシャルエンジニアリング戦術や被害者によるパッケージ名のスペルミスに依存する従来のタイポスクワッティング攻撃とは異なり、この特定のサプライチェーン攻撃は、被害者によるアクションを必要とせず、悪意のあるパッケージを自動的に受信するため、より洗練されています。

要チェック：サプライチェーン攻撃でAppleを含む35社がハッキング被害に