Passwordstate密码管理器更新被劫持在数千台PC上安装后门

Click Studios，这家澳大利亚软件公司是该项目的幕后推手密码管理应用程序已通知客户在供应链攻击后重置密码。

这家总部位于阿德莱德的公司表示，一名坏人利用复杂的技术破坏了软件的更新机制，并利用它在用户计算机上投放恶意软件。

据称，该违规事件发生在UTC时间4月20日晚上8:33至4月22日凌晨0:30之间，持续时间约为28小时。

“据信，只有在上述时间段内执行就地升级的客户才会受到影响，”该公司在一份咨询报告中说。“Passwordstate的手动升级不会受到影响。可能已获取受影响客户的密码记录。”

波兰科技新闻网站Niebezpiecznik首次报道了这一进展。目前尚不清楚攻击者是谁，也不清楚他们是如何破坏密码管理器的更新功能的。Click Studios表示，对该事件的调查正在进行中，但指出“受影响的客户数量似乎非常少。”

Passwordstate是一种用于企业密码管理的内部部署的基于web的解决方案，使企业能够安全地存储密码，将解决方案集成到其应用程序中，并跨一系列系统重置密码，等等。全球有2.9万名客户和37万名安全和IT专业人士使用该软件，其中包括跨越银行、保险、国防、政府、教育和制造业等垂直领域的几家财富500强公司。

根据总部位于丹麦的安全公司CSIS Group共享的初步分析，恶意软件更新以ZIP存档文件“Passwordstate_upgrade.ZIP”的形式出现，其中包含一个名为“moserware.secretsplitter.dll”的库的修改版本（此处和此处的VirusTotal提交）。

该文件反过来与远程服务器建立联系，以获取第二阶段有效载荷（“upgrade_service_upgrade.zip”），该有效载荷提取密码状态数据，并将信息导出回对手的CDN网络。Click Studios表示，截至4月22日UTC上午7:00，服务器已关闭。

泄露信息的完整列表包括计算机名、用户名、域名、当前进程名、当前进程id、所有正在运行的进程的名称和id、所有正在运行的服务的名称、显示名称和状态、Passwordstate实例的代理服务器地址、用户名和密码。。

Click Studios发布了一个修补程序包，帮助客户删除攻击者篡改的DLL，并用合法的变体覆盖它。该公司还建议企业重置与外部系统（防火墙、VPN）以及内部基础设施（存储系统、本地系统）相关的所有凭据，以及存储在Passwordstate中的任何其他密码。

Passwordstate的漏洞出现之际，供应链攻击正在迅速出现，这对依赖第三方软件供应商进行日常运营的公司构成了新的威胁。2020年12月，对SolarWinds Orion网络管理软件的恶意更新在多达18000个客户的网络上安装了后门。

上周，软件审计初创公司Codecov提醒客户，它发现自己的软件早在1月31日就被后门感染，以获取开发者使用的各种内部软件帐户的身份验证令牌。这件事直到4月1日才曝光。