EmEditor主页“下载”按钮被植入恶意软件长达四天

如果您最近下载了流行的文本与编码工具EmEditor，可能需要仔细检查一下您的电脑。在2025年12月19日至12月22日期间，该软件官方网站上的一次安全漏洞导致主页的“立即下载”按钮链接到了一个伪造的、恶意的安装程序，而非正版软件。

该工具的开发商Emurasoft公司发现，某个第三方成功篡改了网站的跳转设置。这意味着，当用户以为自己正在获取安全更新时，实际上被引导至网站的另一部分下载了一个完全非该公司创建的文件。

如何识别伪造文件

根据Emurasoft的官方通知，该伪造文件看起来非常逼真。它使用了相同的文件名（emed64_25.4.3.msi），并且大小几乎与正版文件相同。然而，进一步调查揭示了一个主要的破绽：数字签名。正版文件由Emurasoft公司签名，而可疑版本则是由一个名为“WALSHAM INVESTMENTS LIMITED”的组织签名。

恶意软件的行为分析

中国安全公司奇安信的RedDrip团队调查了这款“信息窃取者”恶意软件。他们发现，一旦它进入你的系统，便会寻找诸如Slack、Discord和Steam等应用程序的登录凭证，甚至针对你的浏览器历史记录、VPN设置和保存的密码。所有这些操作都在该软件于后台继续安装正版EmEditor的过程中进行，这使得用户很难察觉到异常。

他们的分析显示，此次攻击专门针对技术人员和政府机构。除了窃取文件，该恶意软件还会截取你的桌面屏幕截图，并针对Evernote、Notion、PuTTY和WinSCP等专业工具。它甚至有一个“自毁”功能：如果检测到计算机位于前苏联地区或伊朗，它将停止运行以避免被发现。

最令人担忧的是，它会安装一个名为“Google Drive Caching”的欺诈性浏览器扩展。这使得黑客能够远程控制你的浏览器，并在你进行支付时实际替换掉加密货币地址，从而将你的资金直接发送给攻击者。

如何保护你的数据

如果你通过软件内置的自动更新工具、使用了“便携”版本，或者直接从download.emeditor.info下载，那么你很可能不受影响。该问题具体与主页上的主要下载按钮相关。

不过，如果你认为自己可能下载了错误的文件，最佳做法是右键点击安装程序，进入“属性”，然后检查“数字签名”选项卡。如果你看到的是错误的公司名称，或者该选项卡完全缺失，请删除该文件并且不要运行它。

对于那些想百分之百确定的人来说，正版文件的指纹（SHA-256）应与此匹配：e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e。

对于已经安装了该恶意软件的用户，专家建议立即断开网络连接，以防止你的数据被发送给黑客。随后，你应该运行一次完整的病毒扫描，并更改存储在该设备上的所有密码，特别是如果你没有启用双因素认证。

官方回应

Emurasoft为其给客户带来的不便致歉，并将根据调查进展发布更新。

该公司在通知中写道：“我们正在继续调查事实并确定影响的完整范围。一旦有更多信息，我们将通过本页面和/或我们的官方渠道提供更新。我们非常重视此次事件，并将实施必要措施以查明原因并防止再次发生。我们再次对由此可能造成的不便和担忧表示诚挚歉意，并感谢您的理解和对EmEditor的持续支持。”