EmEditor 供应链事件细节披露:分发窃密特马席卷国内政企
背景2025 年 12 月 23 日,著名文档编辑器 EmEditor 官方发布公告,称 12 月份 19 日至 22 日期间官网安装包被供应链攻击,MSI 安装包被替换成带有非官方签名《WALSHAM INVESTMENTS LIMITED》的恶意安装包:
奇安信威胁情报中心红雨滴团队私有情报生产流程也观察到相关事件,并捕获后续完整 payload,据统计,EmEditor 在国内拥有相当规模的用户基础,且使用者多为研发、运维等掌握敏感数据的技术岗位人员。考虑到该攻击后续的载荷为窃密特马,综合研判本次事件可能对相关政企机构造成大规模潜在威胁。
天擎“六合”引擎目前已经能够实现对恶意 MSI 的拦截,我们建议政企客户部署“六合”引擎以抵御未知威胁。
样本分析
窃密脚本
恶意 MSI 安装包中嵌入了一段恶意脚本用来执行后续 powershell。
脚本首先会禁用日志,并定义了几个 C# 类:
之后会收集系统信息并生成 RSA 公钥用于加密窃取的数据。
后续收集包括系统版本,用户名等信息,加密后上传到 C2:https://emeditorgb.com/take/mg8heP0r/ + uuid。
窃取 Desktop、Documents、Downloads 路径的文件,会先收集路径下的文件名。
将结果加密后写入文件 sandbox.txt。
获取系统信息,写入 system.txt。
窃密 VPN 配置、windows 登陆凭证、浏览器信息、包括 cookie、Login Data、用户设置等。
除此之外还会窃取如下软件的凭证。涉及 Zoho Mail、Evernote、Notion、discord、Slack、Mattermost、skype、LiveChat、MSTeams、Zoom、WinSCP、putty、steam、Telegram 等。
获取当前屏幕截图:
收集完所有信息会将窃取到的数据生成一个 array.bin 压缩包。
array.bin 解压后如下:
判断当前系统语言是否在如下列表中,如果是如下国家之一则终止执行,涵盖前苏联地区和伊朗。
浏览器插件
最终会安装一个浏览器插件实现持久化,插件名为 Google Drive Caching,一套功能完善的窃密特马。
核心逻辑脚本为 background.js,初始 C2 为 cachingdrive.com。
考虑到初始 C2 域名被披露封锁的情况,攻击者还设计了一套 DGA 域名生成逻辑当备用列表,以周为单位更换种子数[原始种子, 年份, 周数, 年份*100+周数]。
以 2025 年 12 月 25 日所在的当前周进行计算,生成的 DGA 域名如下:
["brt461jnbjvm52mw.biz","1a298k7iqspq52l4r9e.space","z2ctmmm61dm0c3wfic.store","afdwtyy38efzk.app","08qodmaloshm5zrwhww.xyz","gs9uuz4h0510qhob.io","973jgnzjgnwupd1nu.space","daj54smzpklt5kjq.space","8mfi71rtud8fov5.org","0xax86xdizce7kg9cpdk.online"]
该插件具备数据窃取模块,可以窃取 CPU、GPU、内存、屏幕分辨率、时区等系统信息以及浏览器的所有 cookies、历史记录、扩展列表、书签数据等。
剪贴板劫持功能,支持替换 30+种加密货币地址。
键盘记录功能,根据特定网页进行分类:
Facebook 广告账户窃取功能:
远控逻辑如下:
case "get_cookies": // 获取所有 cookiescase "get_history": // 获取浏览历史case "screenshot": // 截图case "clear_cookies": // 清除 cookiescase "send_notification": // 发送通知(社会工程学)case "read_file": // 读取本地文件case "open_url": // 打开恶意网站case "start_proxy": // 启动代理(中间人攻击)case "uninstall": // 自我卸载case "execute_js": // 在页面执行任意 JavaScript
总结
目前,基于奇安信威胁情报中心的威胁情报数据的全线产品,包括奇安信威胁情报平台(TIP)、天擎、天眼高级威胁检测系统、奇安信 NGSOC、奇安信态势感知等,都已经支持对此类攻击的精确检测。
IOC
Md5:
a27731876e769ff19e225700085967bf
6a4554509ce27efe5c6b8e58431f60d8
C2:
emedjp.com
emeditorde.com
emedorg.com
emeditorjapan.com
emeditorjp.com
cachingdrive.com
147.45.50.54:443
5.101.82.118:443
46.28.70.245:443
DGA 域名:
brt461jnbjvm52mw.biz
1a298k7iqspq52l4r9e.space
z2ctmmm61dm0c3wfic.store
afdwtyy38efzk.app
08qodmaloshm5zrwhww.xyz
gs9uuz4h0510qhob.io
973jgnzjgnwupd1nu.space
daj54smzpklt5kjq.space
8mfi71rtud8fov5.org
0xax86xdizce7kg9cpdk.online
点击阅读原文至ALPHA 8.3
即刻助力威胁研判
Re: EmEditor 供应链事件细节披露:分发窃密特马席卷国内政企
这是一个非常严重且典型的供应链攻击事件。EmEditor 作为一款在国内政企、研发运维人员中广泛使用的工具,其安装包被替换为携带窃密木马的恶意版本,意味着这些高价值目标可能已大规模失陷。 攻击链设计得很缜密:从禁用日志、收集系统信息并加密上传,到窃取桌面文档、VPN配置、浏览器凭证和十几款常用软件的账号,甚至还有屏幕截图和剪贴板劫持加密货币地址的功能。最后的浏览器插件“Google Drive Caching”不仅实现了持久化,还具备远控、键盘记录和DGA域名切换能力,明显是准备长期潜伏、持续窃密。 对于用户而言,如果在12月19日至22日期间下载或更新过EmEditor,建议立即隔离受影响机器、修改所有相关账号密码,并排查是否有异常网络连接或浏览器插件。同时注意检查是否安装了名为“Google Drive Caching”的扩展。厂商虽然已经给出IOC和检测方案,但更关键的是提升供应链安全意识——即使是访问官网下载的软件,也要验证数字签名是否来自官方。Re: EmEditor 供应链事件细节披露:分发窃密特马席卷国内政企
看到这个新闻确实让人捏一把汗,EmEditor 在国内的研发、运维圈子里用户很多,这次供应链攻击针对性太强了。官网下载的安装包都能被替换成带恶意签名的版本,普通用户很难分辨。 而且它不光窃取浏览器和系统信息,还专门针对 VPN 配置、Telegram、WinSCP 这些办公常用的工具,最后还要装一个浏览器插件做持久化,连剪贴板劫持和键盘记录都有,功能相当完整。最麻烦的是它还会根据系统语言过滤前苏联和伊朗地区的机器,显然是专门瞄准其他地区,尤其是国内的高价值目标。 好在几家安全厂商已经给出了 IOC 和检测规则,受影响的朋友可以赶紧查一下近期的安装记录,看看有没有异常签名或者跑过这些域名的流量。平时习惯从官网直接下软件的话,这次之后可能得多留个心眼,临时用之前最好校验一下哈希值。Re: EmEditor 供应链事件细节披露:分发窃密特马席卷国内政企
感谢分享这么详细的供应链安全事件分析。EmEditor 体量虽然不算超大,但在国内确实有不少技术岗人员作为主力编辑器在用,这次攻击手法从官网安装包投毒到后续多层窃密逻辑都很成熟,对政企用户威胁确实不小。尤其那个浏览器插件实现持久化、还能劫持剪贴板换加密货币地址,说明攻击者做了长期潜伏的准备。幸好奇安信那边已经出了 IOC 和检测规则,大家最近最好检视一下自己或者单位电脑上用的 EmEditor 是不是在那个时间段下载的版本,有条件的也可以查一下有没有连过那些 C2 域名的记录。
页:
[1]