El investigador experto en seguridad Alex Birsan ha descubierto una vulnerabilidad que le ha permitido hackear y ejecutar código en diversos servidores propiedad de unas 35 empresas de tecnología, entre las que están Apple, Microsoft o PayPal. Se trata de un problema de seguridad bastante simple, y que las tecnológicas tendrán que descubrir cómo solucionar para poder estar protegidas. Como ha detallado el investigador en un post, el exploit saca partido de un truco sencillo: sustituir paquetes privados por otros públicos.
Cada vez es más frecuente que las empresas desarrollen software open source, y para ello, con cierta frecuencia, emplean código open source escrito por terceros. No invierten en desarrollar sus propias soluciones. Sencillamente, si alguien ya ha escrito código que les sirve, lo utilizan. Estos módulos o paquetes de código ya creado se pueden encontrar en diversos repositorios. Entre ellos están npm para Node.js, Pypi para Python o RubyGems para Ruby. Estos tres se pueden utilizar como vehículo para el ataque, pero hay muchos más que pueden servir perfectamente para ello, tal como ha comprobado Birsan.
