VoIP IPBX软件开发商3CX所打造的桌面程序Electron传出遭到黑客渗透,被黑客植入藏有木马的ffmpeg.dll,并借由官网上的更新感染了Windows及macOS用户,3CX已证实此事,建议用户移除含有木马的版本,并暂时使用渐进式网络应用程序(Progressive Web Apps,PWA)。
3CX的主要产品为3CX Phone System,这是一个基于开放标准的软件交换机,并开发VoIP IPBX软件,以让用户通过网络进行各种通信,全球有超过60万家企业客户,包括可口可乐、麦当劳、BMW、IKEA及英国保健局(National Health Service)等,每日用户数量超过1,200万名。
安全企业Sophos指出,3CX用户自3月22日陆续发现他们的杀毒软件将3CX的桌面程序标注为恶意程序,结果是3CX官网上支持Windows与macOS的桌面程序Electron被植入了含有木马的ffmpeg.dll,可用来连接GitHub并下载恶意酬载。
Sophos所观察到的恶意酬载主要为资讯窃取工具,以窃取受害系统上的浏览器资讯。受到影响的版本分别是Electron Windows App 18.12.407与18.12.416,以及Electron Mac App 18.11.1213、18.12.402、18.12.407与18.12.416。并未波及Linux、Android与iOS版本。
FFmpeg是个开源的软件项目,可用来处理声音及图片等多媒体文件及流媒体,在事故传出后,FFmpeg团队通过Twitter澄清,该项目的源码并未被危害,任何ffmpeg.dll遭到危害的事件都应该由软件供应商负责。
事实上,Sophos在所侦测到的恶意ffmpeg.dll文件上,发现的也是3CX的数字凭证。
3CX本周四(3/30)证实了官方桌面程序遭到渗透,并已聘请安全企业Mandiant展开鉴识,由3CX托管及StartUP用户的服务器已连夜更新,至于一般用户则应先移除桌面上的Electron程序,并暂时通过网页版的PWA程序来使用服务。
此外,虽然3CX已经更新了Electron程序,但仍旧强烈建议用户暂时不要使用该程序,因为这是一个在24小时内紧急修补的版本,同时3CX也在重新打造一个采用新凭证的版本,而这才会是完全安全的版本,预计一、两天后就会出炉。