تعرّض مُثبّتات DAEMON Tools الرسمية لهجوم supply-chain نشر backdoor على نطاق عالمي
أفاد باحثون أمنيون بأن مُثبّتات DAEMON Tools الرسمية جرى trojanize لها ضمن هجوم supply-chain مستمر منذ 8 أبريل، ما أدى إلى توزيع backdoor على آلاف الأنظمة في أكثر من 100 دولة. خطورة الحادثة تكمن في أن التوزيع تم عبر القناة الرسمية للبرنامج، وليس عبر موقع مزيف أو نسخة مقرصنة.
ما الذي حدث
الإصدارات المتأثرة شملت 12.5.0.2421 إلى 12.5.0.2434، ورُصدت ملفات خبيثة بأسماء DTHelper.exe وDiscSoftBusServiceLite.exe وDTShellHlp.exe. المرحلة الأولى من malware جمعت بيانات profiling عن الأجهزة والأنظمة، بينما كانت المرحلة الثانية قادرة على تنفيذ أوامر وتنزيل ملفات إضافية.
الدلالة الأمنية
لم يصل payload الثاني إلا إلى نحو اثنتي عشرة آلة، ما يشير إلى استهداف انتقائي بعد إصابة واسعة. وشملت الأجهزة التي تلقت المرحلة اللاحقة جهات في قطاعات التجزئة والعلوم والحكومة والتصنيع في روسيا وبيلاروس وتايلاند. كما رصدت Kaspersky أداة QUIC RAT في حالة واحدة على الأقل. وحتى وقت النشر، لم تكن DAEMON Tools قد علّقت علنًا. الحادثة تبرز كيف يظل هجوم supply-chain وسيلة فعالة لاختراق الثقة في التوزيع البرمجي الرسمي.
Originally reported by BleepingComputer. Read the original article for additional details.
View original source