Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Атака по цепочке поставок EmEditor: заражённые MSI с PowerShell

1
3 мин
23 декабря 2025 года было раскрыто масштабное нарушение целостности цепочки поставок: установочные пакеты MSI текстового редактора EmEditor, размещённые на официальном сайте разработчика, были заменены на вредоносные версии в период с 19 по 22 декабря. Поддельные пакеты оказались подписаны неофициальной подписью, связанной с «WALSHAM INVESTMENTS LIMITED». Анализ скомпрометированных установочных пакетов показал наличие встроенного скрипта, который запускает команды PowerShell. Эта возможность указывает на намерение злоумышленников получить расширенный контроль над скомпрометированными средами и выполнить дополнительные вредоносные действия после установки. Ключевой элемент кампании — установка расширения для браузера под названием «Google Drive Caching» (в отчёте описано как «полнофункциональное вредоносное ПО для кражи информации»). Механизм работы злоумышленников сочетал: «Расширение характеризуется как полнофункциональное вредоносное ПО для кражи информации» Инцидент с подменой устан
Оглавление

23 декабря 2025 года было раскрыто масштабное нарушение целостности цепочки поставок: установочные пакеты MSI текстового редактора EmEditor, размещённые на официальном сайте разработчика, были заменены на вредоносные версии в период с 19 по 22 декабря. Поддельные пакеты оказались подписаны неофициальной подписью, связанной с «WALSHAM INVESTMENTS LIMITED».

Краткая суть инцидента

  • Временной интервал компрометации: 19–22 декабря 2025.
  • Дата раскрытия: 23 декабря 2025.
  • Целевой продукт: EmEditor — официальные MSI-пакеты были заменены.
  • Подпись вредоносных пакетов связана с «WALSHAM INVESTMENTS LIMITED».
  • Основные пострадавшие: государственные структуры и предприятия.

Техническая картина атаки

Анализ скомпрометированных установочных пакетов показал наличие встроенного скрипта, который запускает команды PowerShell. Эта возможность указывает на намерение злоумышленников получить расширенный контроль над скомпрометированными средами и выполнить дополнительные вредоносные действия после установки.

Ключевой элемент кампании — установка расширения для браузера под названием «Google Drive Caching» (в отчёте описано как «полнофункциональное вредоносное ПО для кражи информации»). Механизм работы злоумышленников сочетал:

  • инициализацию через изменённый установщик MSI;
  • выполнение команд через PowerShell для доставки и управления дальнейшими компонентами;
  • закрепление посредством вредоносного browser extension, обеспечивающего стойкость и непрерывную эксфильтрацию данных.
«Расширение характеризуется как полнофункциональное вредоносное ПО для кражи информации»

Почему это опасно

  • Атаки по цепочке поставок позволяют компрометировать большое число пользователей через доверенный канал обновлений/установки.
  • Использование PowerShell даёт злоумышленникам гибкие средства управления и маскировки действий на целевых системах.
  • Вредоносное расширение браузера обеспечивает длительную устойчивость присутствия в среде жертвы и постоянную эксфильтрацию конфиденциальных данных.
  • Пострадавшими оказались государственные и корпоративные организации — это повышает риск утечек критичной информации.

Рекомендации для ИТ‑администраторов и пользователей

  • Немедленно проверить контрольные суммы и подписи установленных экземпляров EmEditor, особенно установленные или обновлённые в период 19–22 декабря 2025.
  • Если обнаружены скомпрометированные пакеты — удалить их, выполнить чистую установку из официального и проверенного источника после подтверждения подлинности.
  • Проверить браузеры на наличие расширения «Google Drive Caching» и удалить любые неизвестные или подозрительные расширения.
  • Проанализировать журналы PowerShell и системы обнаружения угроз (EDR) на предмет выполнения необычных скриптов или команд в указанный период.
  • Провести аудит учетных записей и смену учётных данных/ключей, если есть подозрение на утечку; рассмотреть двухфакторную аутентификацию в приоритетном порядке.
  • Запустить полное сканирование антивирусными и EDR-инструментами, при необходимости — обратиться к поставщикам безопасности за помощью в инцидент-реcпонсе.
  • Сообщить о инциденте соответствующим регуляторам и партнёрам, особенно если организация обрабатывает критичные или персональные данные.

Вывод

Инцидент с подменой установочных пакетов EmEditor демонстрирует классическую и опасную схему атаки по цепочке поставок: использование доверенного канала распространения ПО для внедрения исполняемых вредоносных компонентов, последующее использование PowerShell для управления и установка зловредного расширения браузера для долгосрочной эксфильтрации данных. Это служит напоминанием о необходимости строгих процедур проверки целостности ПО, мониторинга поведения конечных точек и быстрого реагирования на подозрительные изменения в инфраструктуре.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Атака по цепочке поставок EmEditor: заражённые MSI с PowerShell".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Гаджеты и электроника
5,73 млн интересуются