聚焦源代码安全，网罗国内外最新资讯！

专栏·供应链安全

数字化时代，软件无处不在。软件如同社会中的“虚拟人”，已经成为支撑社会正常运转的最基本元素之一，软件的安全性问题也正在成为当今社会的根本性、基础性问题。

随着软件产业的快速发展，软件供应链也越发复杂多元，复杂的软件供应链会引入一系列的安全问题，导致信息系统的整体安全防护难度越来越大。近年来，针对软件供应链的安全攻击事件一直呈快速增长态势，造成的危害也越来越严重。

为此，我们推出“供应链安全”栏目。本栏目汇聚供应链安全资讯，分析供应链安全风险，提供缓解建议，为供应链安全保驾护航。

注：以往发布的部分供应链安全相关内容，请见文末“推荐阅读”部分。

神秘黑客攻陷了企业密码管理器应用 Passwordstate 的更新机制，并在用户设备上部署恶意软件，这些用户多数为企业客户。

Passwordstate 所属公司澳大利亚软件公司 Click Studios 已通过邮件向2.9万名客户通知此事。

波兰技术新闻网站 Niebezpiecznik 指出，遭恶意软件感染的更新存活了28个小时，从4月20日20:33 UTC 持续到4月22日 00:30 UTC。

负责处理这次供应链攻击的丹麦安全公司 CSIS 分析了这款恶意软件指出，攻击者强迫 Passwordstate 应用下载了一个额外的 ZIP 文件，名为 “Passwordstate_upgrade.zip”，其中包含一个名为 “moserware.secretsplitter.dll”的DLL 文件。安装该 DLL 文件后，它会弹出一个远程命令和控制服务器，请求新命令并接收其它 payload。

具体来讲，恶意 dll “Moserware.SecretSplitter.dll” 被恶意代码片段注入并修改，原始 dll 中加入一小段代码 “Loader”。

该恶意代码尝试联系URL (https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip)，以使用方法 “Container.Get()” , AES检索加密密码，使用密码 f4f15dddc3ba10dd443493a2a8a526b0 进行解密，之后将其传递给 Loader Class()。解密后，代码被直接在内存中执行。

遗憾的是，一旦入侵败露，攻击者立即使C&C服务器宕机，阻止调查人员发现其它 payload以及攻击者执行的其它动作。

截止目前仅发现了该恶意软件的一个 Windows 版本。

Click Studios 公司发布了热补丁包，帮助客户删除恶意软件。该恶意软件被命名为 “Moserware”。

2.9万家企业必须修改密码

截止目前，虽然尚不清楚攻击者的动机，但从他们攻陷的软件性质来看，很可能该恶意软件能够完全访问客户的密码存储。

SentineIOne 公司的首席威胁研究员 Juan Andres Guerrero-Saade 指出，目前已有工具可解密 Passwordstate 存储库并恢复明文密码。因此，Click Studios 公司建议客户尽快修改存储在被黑 Passwordstate 密码管理器中的密码。

鉴于该密码管理器主要是批量出售给企业，且声称为内部部署系统，因此修改密码不仅涉及邮箱和网站账户，还涉及内部其它设备的密码如防火墙、VPN、交换机、路由器、网关等，很多员工应该会认为该密码管理器是安全的本地存储系统而将这些密码也存储在该 app 内。

英国安全公司 Cyjax 的恶意软件分析师 Wlliam Thomas表示，“这是一个非常麻烦的攻陷事件，想象一下在周五不得不为网络上的每台设备都修改密码的场景。”

推荐阅读

手把手教你详细分析 Chrome 1day 漏洞 (CVE-2021-21224)

为了研究，可以在 Linux 内核中植入漏洞吗？

利用 CocoaPods 服务器中的一个 RCE 漏洞，投毒数百万款app

Codecov后门事件验证分析

微软“照片”应用Raw 格式图像编码器漏洞 (CVE-2021-24091)的技术分析

速修复！热门npm 库 netmask 被曝严重的软件供应链漏洞，已存在9年

SolarWinds 供应链事件后，美国考虑实施软件安全评级和标准机制

找到软件供应链的薄弱链条

GitHub谈软件供应链安全及其重要性

揭秘新的供应链攻击：一研究员靠它成功入侵微软、苹果等 35 家科技公司

谷歌Linux基金会等联合推出开源软件签名服务 sigstore，提振软件供应链安全

Linus Torvalds 警告：勿用 Linux 5.12 rc1，担心供应链攻击？

微软和火眼又分别发现SolarWinds 供应链攻击的新后门

找到恶意软件包：Go 语言生态系统中的供应链攻击是怎样的？

拜登签署行政令，要求保护美国关键供应链（含信息技术）的安全

坐火车太无聊，我溜入微软 VS Code官方GitHub仓库，但没敢发动供应链攻击

SolarWinds 供应链攻击中的第四款恶意软件及其它动态

OpenWRT开源项目论坛遭未授权访问，可被用于供应链攻击

FireEye事件新动态：APT 攻击 SolarWinds 全球供应链（详解）

FireEye 红队失窃工具大揭秘之：分析复现SolarWinds RCE 0day (CVE-2020-10148)

FireEye红队失窃工具大揭秘之：分析复现Zoho ManageEngine RCE (CVE-2020-10189)

FireEye 红队失窃工具大揭秘之：分析复现 Zoho 任意文件上传漏洞(CVE-2020-8394)

FireEye 红队失窃工具大揭秘之：分析复现 Confluence路径穿越漏洞 (CVE-2019-3398)

FireEye 红队失窃工具大揭秘之：分析复现 Atlassian RCE (CVE-2019-11580)

Ripple 20：严重漏洞影响全球数十亿IoT设备，复杂软件供应链使修复难上加难

被后爹坑：开源 JavaScript 库沦为摇钱树

速修复！开源企业自动化软件 Apache OFBiz 出现严重的 RCE 漏洞

谷歌提出治理开源软件漏洞的新框架：知悉、预防、修复

开源软件漏洞安全风险分析

开源OS FreeBSD 中 ftpd chroot 本地提权漏洞 (CVE-2020-7468) 的技术分析

集结30+漏洞 exploit，Gitpaste-12 蠕虫影响 Linux 和开源组件等

题图：Pixabay License

奇安信代码卫士原创出品。转载请注明 “转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的

产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~