2 月 11 日訊息安全研究人員 Alex Birsan 發現了一個安全漏洞，允許他在蘋果、微軟、PayPal 和其他 30 多家公司擁有的伺服器上執行程式碼。

該漏洞利用了一個相對簡單的技巧：用公共軟體包替換私有軟體包。公司在構建程式的時候，往往會使用其他人編寫的開原始碼，所以他們不會花費時間和資源去解決一個已經解決的問題。

在 NodeJS 的 npm、PyPi 的 PyPi 和 Ruby 的 RubyGems 等資源庫上都可以找到這些公開的程式。值得注意的是，Birsan 發現這些資源庫可以用來進行這種攻擊，但並不限於這三種。

瞭解到，除了這些公開的包，公司往往會建立自己的私有包，他們不會上傳，而是在自己的開發者中分發。Birsan 就是在這裡發現了這個漏洞。他發現，如果他能找到公司使用的私有包的名稱（大多數情況下是非常容易的），他就可以把自己的程式碼上傳到一個同名的公共倉庫中，公司的自動化系統就會使用他的程式碼來代替。他們不僅會下載他的包而不是正確的包，而且還會執行裡面的程式碼。

用一個例子來解釋這個問題，想象一下，你的電腦上有一個 Word 文件，但是當你去開啟它的時候，你的電腦說：“嘿，網際網路上還有一個同名的 Word 文件。我還是開啟那個吧。”這樣，那個 Word 文件就可以自動對你的電腦進行修改。

根據 Birsan 的說法，他所聯絡的大多數關於該漏洞的公司都能夠迅速修補他們的系統。微軟甚至還整理了一份白皮書，解釋系統管理員如何保護他們的公司免受這類攻擊，但坦率地說，有人花了這麼長時間才發現這些龐大的公司容易受到這類攻擊，實在令人吃驚。