文字編輯器EmEditor官網安裝遭動手，第三方指以器充套件建立持久化

近日，文字編輯器EmEditor的官網安裝遭到第三方的動手，可能導致使用者下載到非原廠產製的安裝套件。根據Emurasoft的公告，受影響的時間區段約為臺灣時間12月20日上午至12月23日清晨，官方強調這是保守估計，實際受影響的時間區段可能較短。

EmEditor首頁的下載按平時會導向支援站臺的最新安裝程式連結，再由該連結進行重新導向，但在受影響期間，重新導向疑被改寫，改成從EmEditor官網的WordPress上傳目錄提供案，因此使用者可能下載到非原廠產製的安裝套件。Emurasoft目前僅確認64位元安裝套件emed64_25.4.3.msi涉及此事件，官方指出，可疑案同樣使用emed64_25.4.3.msi名，但案大小略為不同，且數位章顯示為WALSHAM INVESTMENTS LIMITED。

Emurasoft表示，要是章不是Emurasoft或值不符，即可能是遭改的案，建議不要執行並立即移除。官方指出可疑安裝套件在執行時，可能試呼叫PowerShell下載並執行遠端內容，且該內容來源網域emeditorjp.com不屬於Emurasoft管理。即使遭置換的安裝套件，仍可能正常安裝出合法的EmEditor程式案，讓使用者更難從表面察覺異常。

攻擊手法分析

根據中國資安業者奇安信的分析，意程式具資訊取行為，會集系統資訊與器資料，並可能取包含VPN設定、Windows登入證、器Cookies等內容。奇安信也提到，攻擊者可能透過安裝名為Google Drive Caching的器充套件作為持久化手法。

防範建議

對已下載或可能已執行可疑案的情境，Emurasoft建議先以端點隔離方式降低外與向移動風險，並進行完整意程式描與環境檢視。官方也提醒需評估證外可能性，將該裝置上使用或存的號密碼進行更換，並用多因素驗證。

MITRE ATT&CK 應

• T1190 – 行PowerShell
• T1204 – 使用器充套件

參考資料與原文來源

• 原文來源: https://www.ithome.com.tw/news/173077
• 原文來源: https://zh-tw.emeditor.com/support/
• 原文來源: https://zh-tw.emeditor.com/
• 原文來源: https://www.ithome.com.tw/tags/emurasoft
• 原文來源: https://cyber-security.effectstudio.com.tw/blog/4239

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。