神秘黑客攻陷密码管理器 Passwordstate 部署恶意软件，发动软件供应链攻击

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

Passwordstate 所属公司澳大利亚软件公司 Click Studios 已通过邮件向2.9万名客户通知此事。

波兰技术新闻网站 Niebezpiecznik 指出，遭恶意软件感染的更新存活了28个小时，从4月20日20:33 UTC 持续到4月22日 00:30 UTC。

负责处理这次供应链攻击的丹麦安全公司 CSIS 分析了这款恶意软件指出，攻击者强迫 Passwordstate 应用下载了一个额外的 ZIP 文件，名为 “Passwordstate_upgrade.zip”，其中包含一个名为 “moserware.secretsplitter.dll”的DLL 文件。安装该 DLL 文件后，它会弹出一个远程命令和控制服务器，请求新命令并接收其它 payload。

具体来讲，恶意 dll “Moserware.SecretSplitter.dll” 被恶意代码片段注入并修改，原始 dll 中加入一小段代码 “Loader”。

该恶意代码尝试联系URL (https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip)，以使用方法 “Container.Get()” , AES检索加密密码，使用密码 f4f15dddc3ba10dd443493a2a8a526b0 进行解密，之后将其传递给 Loader Class()。解密后，代码被直接在内存中执行。

遗憾的是，一旦入侵败露，攻击者立即使C&C服务器宕机，阻止调查人员发现其它 payload以及攻击者执行的其它动作。

截止目前仅发现了该恶意软件的一个 Windows 版本。

Click Studios 公司发布了热补丁包，帮助客户删除恶意软件。该恶意软件被命名为 “Moserware”。

截止目前，虽然尚不清楚攻击者的动机，但从他们攻陷的软件性质来看，很可能该恶意软件能够完全访问客户的密码存储。

SentineIOne 公司的首席威胁研究员 Juan Andres Guerrero-Saade 指出，目前已有工具可解密 Passwordstate 存储库并恢复明文密码。因此，Click Studios 公司建议客户尽快修改存储在被黑 Passwordstate 密码管理器中的密码。

鉴于该密码管理器主要是批量出售给企业，且声称为内部部署系统，因此修改密码不仅涉及邮箱和网站账户，还涉及内部其它设备的密码如防火墙、VPN、交换机、路由器、网关等，很多员工应该会认为该密码管理器是安全的本地存储系统而将这些密码也存储在该 app 内。

英国安全公司 Cyjax 的恶意软件分析师 Wlliam Thomas表示，“这是一个非常麻烦的攻陷事件，想象一下在周五不得不为网络上的每台设备都修改密码的场景。”

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。