TokyoBlackHatNews

esecurityplanet.com 5分で読了

EmEditor公式サイトの侵害で、信頼されたインストーラーが情報窃取型マルウェアに

EmEditor公式サイトを標的としたサプライチェーン攻撃により、攻撃者がソフトウェアのダウンロード機構を改ざんした結果、ユーザーは気付かないうちに情報窃取型マルウェアにさらされました。 

2025年12月の4日間、公式サイトからEmEditorをダウンロードしたユーザーは、知らないうちにトロイの木馬化されたエディターのバージョンをインストールしていました。

これは「…関連する政府機関および企業機関に対する大規模な潜在的脅威」であると、Qianxinの研究者は述べています

EmEditorインストーラー侵害の内幕

攻撃者はEmEditorのコード自体の脆弱性を悪用したわけではありません。代わりに、EmEditorのWebサイトからインストールファイルへユーザーを誘導するリダイレクト機構を侵害しました。 

URL設定を変更することで、攻撃者はダウンロード先を、EmEditor自身のWordPressコンテンツディレクトリ内にホストされた悪意あるインストーラーへとリダイレクトしました。

マルウェアが公式インフラから配布されたため、多くの標準的な信頼シグナルはそのまま維持されていました。 

インストーラーはデジタル署名も付与されていましたが、Emurasoft Inc.によるものではありませんでした。代わりに、無関係な組織である「WALSHAM INVESTMENTS LIMITED」の署名が付いていました。 

この署名は正当なものではないものの、存在することで欺瞞的な信頼性の層が加わり、多くのユーザーは疑問を抱かなかった可能性があります。

Qianxinの分析により、悪意あるインストーラーは正規のEmEditorの挙動を非常に忠実に模倣しており、インストール中およびインストール後も静かに動作できたことが明らかになりました。 

パッケージ内には、PowerShellコマンドを起動するVBScriptが埋め込まれていました。

このコマンドは追加の悪意あるコードをメモリ上に直接ダウンロードして実行し、従来のファイルベースの検知制御を回避しました。 

ペイロードは包括的な情報窃取型マルウェアとして機能し、個人向けおよび企業向けのデータソースの双方を標的にしました。

有効化されると、マルウェアはChrome、Edge、Brave、Operaなどの一般的なブラウザーから認証情報を収集し、Cookie、ログイン認証情報、閲覧履歴を窃取しました。 

永続化を維持するため、マルウェアは「Google Drive Caching」という名称の悪意あるブラウザー拡張機能をインストールしました。 

この拡張機能にはドメイン生成アルゴリズム(DGA)機能が含まれており、動的に生成されるドメインを横断して強靭なコマンド&コントロール(C2)通信を可能にしました。 

研究者は、この拡張機能がFacebook広告の認証情報も窃取できるほか、暗号資産アドレス置換攻撃のためにクリップボードの活動を監視し、被害者のブラウザーをさらに操作するためのリモートコマンドを実行できることを確認しました。

侵害されたソフトウェアによる被害の軽減

信頼されていたソフトウェア配布チャネルが侵害された場合、さらなる被害を抑えるには迅速な封じ込めと徹底した復旧が不可欠です。 

  • 影響を受けたシステムをネットワークから切り離し、更新済みのエンドポイントセキュリティツールを用いて完全なマルウェアスキャンを実施します。
  • 悪意あるブラウザー拡張機能を削除し、インストール済みの拡張機能をすべて監査し、未承認の拡張機能インストールを制限します。
  • 侵害されたシステムで使用したすべての認証情報をリセットし、ブラウザー、コラボレーションツール、リモートアクセスサービスを優先します。
  • システム、PowerShell、およびネットワークログを確認し、不審な実行、外向きトラフィック、またはドメイン生成活動がないかを調査します。
  • デジタル署名、ファイルハッシュ、証明書発行者を検証して、ダウンロードしたアプリケーションのソフトウェア整合性を確認します。
  • スクリプト実行を制限し、アプリケーションの許可リスト化を徹底し、サードパーティソフトウェア配布リスクを監視することで、エンドポイントおよびサプライチェーンの制御を強化します。

これらの緩和策は、感染システムの隔離、永続化メカニズムの除去、窃取された認証情報の再利用防止に重点を置いています。   

EmEditorの事案は、エンドユーザーを直接狙うのではなく、信頼された開発者向けツールやユーティリティの侵害に焦点を当てるサプライチェーン攻撃への、より広範なシフトを反映しています。 

アプリケーションコードの欠陥を突くのではなく、ソフトウェア配布インフラを操作することで、攻撃者は従来のセキュリティ上の前提を回避し、大規模に高権限環境へアクセスできるようになります。 

この事案は、CMSプラットフォームやリダイレクトを含むWebベースの配信パイプラインが攻撃対象領域を拡大し、綿密に監視されていない場合にステルス性の高い侵害を可能にすることを浮き彫りにしています。 

こうした力学は、上流での侵害から組織を守るうえで、ソフトウェアサプライチェーンセキュリティの強化が不可欠になっている理由を示しています。

翻訳元: https://www.esecurityplanet.com/threats/emeditor-website-breach-turns-trusted-installer-into-infostealer-malware/

ソース: esecurityplanet.com
#DGA(ドメイン生成アルゴリズム) #EmEditor #PowerShellによるメモリ内実行 #WordPress侵害 #インフォスティーラーマルウェア #サプライチェーン攻撃 #デジタル署名なりすまし #トロイの木馬化インストーラー #公式サイト改ざん #悪意あるブラウザ拡張機能

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布