文章总结： 文章分析EmEditor官网遭入侵致安装包带毒事件，攻击者利用Web漏洞替换带有效签名的MSI文件以窃密。指出供应链攻击虽隐蔽但高成本，强调应重视安全投入。建议清理后门、加固系统、校验签名及哈希值，并建立多层验证与自动化监控机制以防范篡改风险。 综合评分： 90 文章分类： 供应链安全,应急响应,恶意软件,威胁情报

EmEditor带毒事件的反思与应对

原创

jishuzhain

OnionSec

2026年1月7日 12:03 广东

2025年12月23日EmEditor官方发布了通告，表明官网安装包被替换成恶意安装包，如果有用户下载并安装使用会引起安全风险。

我从奇安信的文章里得知后依据文章提供的文件哈希下载得到这个样例文件，准备认真查看下细节，供应链事件往往是最致命的信号，如果入侵根源未能确定，残留的风险依然存在，曾经对游戏公司进行应急响应发现黑客已经入侵潜伏长达3年时间，把我震惊到了。首先依据病毒分析经验，MSI类型文件要能被恶意利用，常使用的方式是利用CustomAction字段功能，这已经在近几年非常活跃的多类恶意文件中出现过。样例文件被本地分析后明显会看出CustomAction字段的值存在不寻常的命令执行，例如执行PowerShell命令访问未知域名。

从2025年12月30日提供的官方最新通告分析，可以定性属于一起入侵事件，由于涉及到Web服务器资产，因此大概率还是利用弱口令或者Web应用漏洞进入或者是其余的一些组件缺陷引起被入侵成功，不过攻击者入侵成功后并没有选择挂黑页而是选择采用替换安装包的方式给受害用户中木马而牟利，EmEditor软件受众较多价值很大，攻击者对此投入了不少成本，从购买两个有效的数字签名以及多个伪装的域名来核算所需要的成本就能得到这个结论，恶意安装包执行后实现窃密也符合这类牟利意图。

其实发生这类入侵事件其实并没有多罕见，只要搜索互联网就能发现一些公开的案例信息，类似的事件都是存在一个共性，这也从侧面暴露出对系统或者业务防护的不够，对业务进行防护需要投入成本，但短期内又很难看出真正的“价值”，没有办法量化，于是会将其优先级放置在业务后面，遵循业务优先原则，毕竟业务是企业生存的基石。事件发生后需要立马开展应急响应，文章给出的应对与举措都是非常正常且正确的，清理后门，做好安全加固，排查出真正的入侵口并及时修补，最后是设置多层验证或提醒告知用户进行核查尽量防止被篡改事件。

在我写文章的时候，无意发现又出现非官方签名的安装包57bc24f923c92fc600c2ad47fe285074，签名者为GRH PSYCHIC SERVICES LTD，这个名称肯定不是官方的名称，回连的恶意域名为emeditorltd.com。

凡事都设想最坏的情况，假设业务被入侵了怎么办？

1、安装包携带的有效数字签名的名称与基线安装包的名称存在明显差异

2、Web业务服务器出现异常代码文件（WebShell防护防篡改方案）

3、用户侧哈希二次检验提示（SHA256比对）

4、日常持续基于基线标准自动化运营，出现异常信号及时人工介入。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：OnionSec jishuzhain《EmEditor带毒事件的反思与应对》