主要观点：讲述作者与 Snorlhax 合作发现“Exceptional Vulnerability”（超常规漏洞）并获高额赏金的经历。
关键信息：

• 2021 年作者在漏洞赏金狩猎中与 Snorlhax 相识，起初是竞争关系，后决定合作。
• 目标是找到超出常规赏金的漏洞，通过研究软件供应链攻击实现。
• 选定被收购的子公司，利用工具识别其代码依赖和私有包，发现包含授权令牌的 .git/config 文件及私有 npm 令牌。
• 利用该漏洞可实现代码注入、篡改等，对整个软件供应链造成严重影响。
  重要细节：
• 了解目标公司业务攻击面，认为收购业务易被忽视，可能存在严重漏洞。
• 借助 SWC 库将 JS 文件转换为抽象语法树，查找特定代码范围。
• 分析 Dockerfile 及 CI/CD 流程中的漏洞，如未清理 .git/ 文件夹等。
• 利用 dive 和 dlayer 工具深入检查 Docker 图像的构建层，找到暴露的 npm 令牌。
• 向公司安全团队详细说明漏洞影响及可能的后渗透途径，最终获 50500 美元赏金。
• 强调结合被忽视的角度（如收购和软件供应链漏洞）可取得重大发现，应重视构建过程及外部源的安全。