文本编辑器EmEditor开发商Emurasoft在公告指出,官方网站首页的下载引导疑遭第三方未授权改写,导致用户在特定时间区段通过官网下载的Windows安装组件,可能不是由官方提供的版本,而是被置换的MSI文件。依Emurasoft说法,可能受影响期间为约为12月20日上午至12月23日清晨。官方强调这是保守估计,实际受影响的时间区段可能较短。
EmEditor首页的下载按钮平时会导向支持站台的最新安装程序连接,再由该连接进行重定向,但在受影响期间,重定向疑被改写,改成从EmEditor官网的WordPress上传目录提供文件,因此用户可能下载到非原厂生产机制的安装组件。
Emurasoft目前仅确认64位元安装组件emed64_25.4.3.msi涉及此事件,官方指出,可疑文件同样使用emed64_25.4.3.msi文件名,但文件大小略为不同,且数字签名显示为WALSHAM INVESTMENTS LIMITED。Emurasoft表示,要是签章不是Emurasoft或散列值不符,即可能是遭篡改的文件,建议不要执行并立即移除。
官方指出可疑安装组件在执行时,可能尝试调用PowerShell下载并执行远程内容,且该内容来源域名emeditorjp.com不属于Emurasoft管理。即使遭置换的安装组件,仍可能正常安装出合法的EmEditor程序文件,让用户更难从表面发现异常。
针对已下载或可能已执行可疑文件的场景,Emurasoft建议先以端点隔离方式降低外流与横向移动风险,并进行完整恶意程序扫描与环境查看。官方也提醒需评估凭证外流可能性,将该设备上使用或存储的账号密码进行更换,并激活多因素验证。
此外,Emurasoft也列出多种不受影响的取得途径,例如通过EmEditor内置更新机制自动更新,或直接从download.emeditor.info下载,以及通过winget安装或更新等。如果仅下载但未执行可疑文件,官方也视为不在受害范围内。
除官方公告之外,中国安全企业奇安信表示,其团队捕捉到此事件的后续载荷,指出恶意程序具资讯窃取行为,会搜集系统资讯与浏览器数据,并可能窃取包含VPN设置、Windows登录凭证、浏览器Cookies等内容。奇安信也提到,攻击者可能通过安装名为Google Drive Caching的浏览器扩展组件作为持久化手法。
