أخبر صانع التطبيق العملاء أن ما يصل إلى 29000 مستخدم لمدير كلمات المرور Passwordstate قاموا بتنزيل تحديث ضار يستخرج البيانات ويرسله إلى خادم يتحكم فيه المهاجم.
في رسالة بريد إلكتروني ، أخبر منشئ Passwordstate Click Studios العملاء أن الجهات الفاعلة السيئة قد أساءت إلى آلية الترقية الخاصة بها واستخدمتها لتثبيت ملف ضار على أجهزة كمبيوتر المستخدم. إحتوى الملف ، المسمى "moserware.secretsplitter.dll" ، على نسخة شرعية من تطبيق يسمى SecretSplitter ، إلى جانب رمز ضار باسم "Loader" ، وفقاً لما ورد في تقرير موجز من شركة الأمان CSIS Group.
يحاول كود Loader إسترداد أرشيف الملف على https: //passwordstate-18ed2.kxcdn [.] com / Upgrade_service_upgrade.zip حتى يتمكن من إسترداد حمولة المرحلة الثانية المشفرة. بمجرد فك التشفير ، يتم تنفيذ الرمز مباشرة في الذاكرة. قالت رسالة البريد الإلكتروني من Click Studios أن الكود "يستخرج معلومات حول نظام الكمبيوتر ، ويختار بيانات Passwordstate ، والتي يتم نشرها بعد ذلك على شبكة CDN للممثلين السيئين."
إستمرت تسوية تحديث Passwordstate من 20 أفريل على الساعة 8:33 صباحاً بالتوقيت العالمي المنسق حتى 22 أفريل على الساعة 12:30 صباحاً. تم إغلاق خادم المهاجم في 22 أفريل على الساعة 7:00 صباحاً بالتوقيت العالمي المنسق.
الجانب المظلم لمديري كلمات المرور:
يوصي ممارسو الأمن بانتظام بمديري كلمات المرور لأنهم يسهلون على الأشخاص تخزين كلمات مرور طويلة ومعقدة فريدة لمئات أو حتى آلاف الحسابات. بدون إستخدام مدير كلمات المرور ، يلجأ العديد من الأشخاص إلى كلمات مرور ضعيفة يُعاد إستخدامها لحسابات متعددة.
يؤكد خرق حالة كلمة المرور على الخطر الذي يمثله مديرو كلمات المرور لأنهم يمثلون نقطة فشل واحدة يمكن أن تؤدي إلى إختراق أعداد كبيرة من الأصول عبر الإنترنت. تكون المخاطر أقل بشكل ملحوظ عند توفر المصادقة الثنائية وتمكينها لأن كلمات المرور المستخرجة وحدها لا تكفي للحصول على وصول غير مصرح به. تقول Click Studios أن Passwordstate توفر خيارات 2FA متعددة .
يعد الإختراق مقلقاً بشكل خاص لأنه يتم بيع Passwordstate بشكل أساسي لعملاء الشركات الذين يستخدمون المدير لتخزين كلمات المرور لجدران الحماية وشبكات VPN وتطبيقات المؤسسات الأخرى. تقول Click Studios إن Passwordstate "موثوق بها من قبل أكثر من 29000 عميل و 370.000 متخصص في الأمن وتكنولوجيا المعلومات حول العالم ، مع قاعدة تثبيت تمتد من أكبر الشركات ، بما في ذلك العديد من شركات Fortune 500 ، إلى أصغر متاجر تكنولوجيا المعلومات."
هجوم آخر على سلسلة التوريد:
يعد إختراق Passwordstate أحدث هجوم رفيع المستوى لسلسلة التوريد يتم الكشف عنه في الأشهر الأخيرة. في ديسمبر ، قام تحديث ضار لبرنامج إدارة الشبكة SolarWinds بتثبيت باب خلفي على شبكات 18000 عميل. في وقت سابق من هذا الشهر ، قامت أداة مطور محدثة تسمى Codecov Bash Uploader باستخراج رموز المصادقة السرية والبيانات الحساسة الأخرى من الأجهزة المصابة وإرسالها إلى موقع بعيد يتحكم فيه المتسللون.
يجب على أي شخص يستخدم Passwordstate إعادة تعيين جميع كلمات المرور المخزنة على الفور ، خاصةً تلك الخاصة بجدران الحماية وشبكات VPN والمفاتيح والحسابات المحلية والخوادم.
