该应用开发商告诉客户，多达2.9万名Passwordstate密码管理器用户下载了一个恶意更新，从该应用程序中提取数据，并将其发送到攻击者控制的服务器。

在一封电子邮件中，Passwordstate的创建者Click Studios告诉客户，坏人破坏了它的升级机制，并利用它在用户的电脑上安装了一个恶意文件。这个名为“moserware.secretsplitter.dll”的文件包含一个名为SecretSplitter的应用程序的合法副本，以及名为“Loader”的恶意代码，根据安全公司CSIS集团的一份简报。

战略与国际研究中心集团

Loader代码试图在https://passwordstate-18ed2.kxcdn[.]com/upgrade_service_upgrade.zip中检索文件存档，这样它就可以检索加密的第二阶段有效载荷。一旦解密，代码就直接在内存中执行。来自Click Studios的电子邮件称，该代码“提取有关计算机系统的信息，并选择Passwordstate数据，然后将其发布到不法分子的CDN网络。”

Passwordstate更新泄露从UTC时间4月20日上午8:33持续到4月22日上午12:30。攻击者服务器于4月22日上午7点UTC时间关闭。

密码管理器的阴暗面

安全从业者经常推荐密码管理器，因为它们使人们可以很容易地存储数百甚至数千个账户独有的长而复杂的密码。如果不使用密码管理器，许多人就会求助于弱密码，这些弱密码可被多个帐户重用。

Passwordstate的泄露凸显了密码管理器带来的风险，因为它们代表了一个单点故障，沐鸣开户测速可能导致大量在线资产受到损害。当双因素身份验证可用并启用时，风险显著降低，因为仅提取的密码不足以获得未经授权的访问。Click Studios表示Passwordstate提供多个2FA选项。

这种漏洞尤其令人担忧，因为Passwordstate主要卖给企业客户，他们使用该管理器存储防火墙、vpn和其他企业应用程序的密码。Click Studios表示，Passwordstate“受到全球超过29,000名客户和370,000名安全和IT专业人士的信任，其安装基础从最大的企业，包括许多财富500强公司，到最小的IT商店。”

另一个供应链的攻击

Passwordstate泄露事件是近几个月来最新一起备受瞩目的供应链攻击事件。去年12月，太阳风网络管理软件的恶意升级在18000名用户的网络上安装了一个后门。本月早些时候，一个名为Codecov Bash Uploader的更新开发工具从受感染的机器中提取秘密身份验证令牌和其他敏感数据，并将它们发送到黑客控制的远程站点。

第一阶段的有效载荷上传到VirusTotal，在这篇文章发布的时候，68个追踪的终端保护程序没有一个检测到恶意软件。研究人员到目前为止还无法获得后续有效载荷的样本。

任何使用Passwordstate的人都应该立即重置所有存储的密码，特别是防火墙、vpn、交换机、沐鸣开户测速本地帐户和服务器的密码。

Click Studios的代表没有回复请求置评的电子邮件。