Os alvos incluíam Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla e Uber. O ataque chamado de “Dependency Confusion” consistia em criar módulos públicos em registros como npm, PyPI e RubyGems, utilizando os exatos mesmos nomes de módulos privados destas empresas, e que através desta confusão de dependências, eram distribuídos para programas internos, sem a necessidade de interação humana direta. Por seus esforços de pesquisa ética, o pesquisador ganhou 130 mil dólares em recompensas. As informações são do site Bleeping Computer.
