EmEditor 官方安裝包遭植入間諜軟體：安全威脅與事件分析

近日，文字編輯器EmEditor的官方網站遭受攻擊，導致其Windows安裝套件被植入間諜軟體。此次事件涉及數位簽章篡改、惡意程式下載和持久化駐留等多種技術手法，對全球開發者和技術人員構成嚴重威脅。本文將深入分析此次事件的背景、攻擊手法及其對企業資安的影響，並提供相關的建議和解決方案。

事件背景

根據Emurasoft的公告，官方網站首頁的下載導引在12月20日上午至23日清晨之間遭第三方未授權改寫，導致使用者在該時間區段透過官網下載的Windows安裝套件可能不是由官方提供的版本，而是被置換的MSI檔。受影響的安裝套件為64位元的emed64_25.4.3.msi，該檔案的數位簽章顯示為WALSHAM INVESTMENTS LIMITED，而非Emurasoft（Emurasoft, 2025）。

攻擊手法分析

此次攻擊手法主要包括以下幾個步驟：

• 篡改官方網站下載連結：攻擊者篡改了EmEditor官網的下載導引，使其指向被置換的MSI檔。
• 數位簽章篡改：被置換的MSI檔使用了WALSHAM INVESTMENTS LIMITED的數位簽章，而非正版EmEditor的Emurasoft簽章（Anquanke, 2025）。
• 惡意程式下載與執行：被置換的MSI檔在執行時，會呼叫PowerShell下載並執行遠端內容，從而導入後續的惡意載荷（iThome, 2025）。
• 信息窃取與持久化：惡意程式會蒐集系統資訊、瀏覽器資料、VPN設定、Windows登入憑證等，並安裝名為“Google Drive Caching”的瀏覽器擴充套件以實現持久化駐留（Yijinglab, 2025）。

此外，攻擊者還在惡意程式中內置了“禁止感染”名單，若检测到目标设备归属前苏联加盟国或伊朗相关地区，恶意程序将终止执行（Anquanke, 2025）。

安全威脅與影響

此次事件對企業資安構成多方面的威脅：

• 信息窃取：惡意程式能夠窃取多種敏感信息，包括VPN設定、瀏覽器資料、應用账号凭证等，對企業內部系統和數據安全構成嚴重威脅。
• 持久化駐留：通過安裝瀏覽器擴充套件，攻擊者能夠長期駐留在受害者的設備中，持續進行信息窃取和其他惡意活動。
• 供應鏈攻擊：此次攻擊直接針對軟件分發源頭，對全球開發者和技術人員構成嚴重威脅，可能導致廣泛的二次感染。

應對建議與解決方案

針對此次事件，企業應採取以下措施來降低風險：

• 檢查和更新安裝包：使用者應立即停止使用可能受影響的EmEditor安裝包，並從官方提供的安全渠道重新下載和安裝最新版本。
• 檢查和移除可疑程式：使用端點隔離方式降低外洩與橫向移動風險，並進行完整惡意程式掃描與環境檢視，移除所有可疑程式。
• 更換憑證：評估憑證外洩可能性，將該裝置上使用或儲存的帳號密碼進行更換，並啟用多因素驗證。
• 增強防護措施：部署多層次的安全防護措施，包括防火牆、入侵檢測系統和行為分析等，提升對未來攻擊的防範能力。
• 使用可靠的安全工具：例如SuperAntiSpyware等，定期掃描和清除系統中的間諜軟體、木馬程式和其他惡意程式。

結論

EmEditor官方安裝包遭植入間諜軟體事件暴露了供應鏈攻擊的嚴重威脅，提醒企業和個人需加強對軟件分發源頭的防護。通過檢查和更新安裝包、增強防護措施和使用可靠的安全工具，企業可以有效降低此類事件的風險，保護內部系統和數據的安全。

參考資料與原文來源

• 🔗 原文來源: https://www.ithome.com.tw/news/173077
• 🔗 原文來源: https://www.yijinglab.com/industry/20251231085537
• 🔗 原文來源: https://www.anquanke.com/post/id/314096

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。