Когда «Download Now» превращается в «Hack Me Now». Что случилось с редактором EmEditor

В конце декабря вокруг популярного текстового редактора EmEditor вспыхнул неприятный «сюрприз» уровня цепочки поставок: по данным разработчика, с 19 по 22 декабря 2025 года кнопка загрузки на официальном сайте могла выдавать не оригинальный установщик, а подменённый MSI с чужой цифровой подписью. Вместо Emurasoft, Inc. в подписи у подозрительного файла фигурировала организация WALSHAM INVESTMENTS LIMITED — и именно это стало главным красным флагом для тех, кто скачивал инсталлятор в указанный период.

Официальное уведомление EmEditor появилось 23 декабря. Компания сообщила, что во время «окна риска» перенаправление по кнопке Download Now, вероятно, было изменено третьей стороной, из-за чего пользователи могли получить файл не от Emurasoft. Разработчик просит проверять подпись и хеш скачанного emed64_25.4.3.msi и подчёркивает: обновления через встроенный механизм EmEditor, прямые загрузки с download.emeditor.info, portable-версия, магазинная версия и установка через winget этим инцидентом не затрагиваются.

Почти одновременно китайская команда аналитиков QiAnXin (奇安信) заявила, что тоже увидела этот кейс в своих потоках угроз, перехватила продолжение цепочки и восстановила, как они считают, полный набор полезной нагрузки. Логика у исследователей простая: EmEditor любят технари — разработчики, администраторы, инженеры сопровождения — а значит, один удачный «подменённый» инсталлятор может привести к неприятной утечке уже на уровне организаций, где через рабочие станции проходит чувствительная информация.

По описанию QiAnXin, вредоносный MSI содержал скрипт, который запускал PowerShell-команды и начинал работу с попытки «приглушить» логирование, чтобы усложнить расследование. Затем следовал сбор базовых сведений о системе — версия ОС, имя пользователя и другие параметры — и генерация RSA-ключа для шифрования того, что будет украдено. Первую порцию данных, как утверждается, отправляли на управляющий сервер по адресу, маскирующемуся под легитимный домен EmEditor: emeditorgb.com с уникальным идентификатором жертвы в запросе.

Дальше начиналась типичная рутина современных инфостилеров. В отчёте говорится о переборе файлов на рабочем столе и в папках Documents и Downloads, сборе конфигураций VPN, попытках извлечь учётные данные Windows и «богатства» браузеров — cookies, сохранённые логины, настройки профиля. Отдельно упоминается сбор доступов из множества популярных приложений и сервисов: среди примеров приводятся Zoho Mail, Evernote, Notion, Discord, Slack, Mattermost, Skype, LiveChat, Microsoft Teams, Zoom, WinSCP, PuTTY, Steam, Telegram и другие. В набор входило и создание скриншота экрана, а собранные данные, по версии аналитиков, упаковывались в архив с именем array.bin.

Любопытная деталь, на которую обращают внимание исследователи: перед финальными шагами вредонос проверял язык системы и прекращал работу, если обнаруживал «нежелательные» регионы. В списке, как утверждается, были страны бывшего СССР и Иран — такой фильтр преступники нередко используют, чтобы снизить риск конфликтов «на своей территории» и лишнего внимания со стороны местных структур.

Для закрепления в системе, по данным QiAnXin, цепочка устанавливала расширение браузера с внешне безобидным названием Google Drive Caching. Именно оно, как описывается, должно было обеспечивать длительный доступ и продолжать кражу: расширение умеет собирать расширенные «отпечатки» устройства (CPU, GPU, объём памяти, разрешение, часовой пояс), выгружать cookies, историю, список расширений и закладки, а также перехватывать ввод с клавиатуры. В отчёте отдельно отмечаются функции, которые выглядят как «швейцарский нож» для мошенников: подмена адресов вывода криптовалют (заявляется поддержка более 30 типов), кража данных Facebook Ads и набор команд для удалённого управления — от снятия скриншота и чтения локальных файлов до открытия ссылок и выполнения произвольного JavaScript на странице.

В качестве стартового адреса управления для расширения называется домен cachingdrive.com, а на случай блокировок, по словам исследователей, предусмотрен резервный механизм генерации доменов (DGA), который меняется раз в неделю. Идея понятна: даже если один домен быстро прикроют, инфраструктура сможет пережить блокировки и оперативно переехать на новые точки управления.

Практический вывод здесь неприятно универсален: даже привычная утилита «для работы с текстом» может стать входной дверью, если подменили дистрибутив. Если вы устанавливали EmEditor в период 19–22 декабря 2025 года именно через кнопку Download Now на официальном сайте, имеет смысл отнестись к этому как минимум серьёзно: перепроверить подпись и хеш установщика, прогнать полноценную проверку системы и особенно внимательно посмотреть на браузерные данные и корпоративные мессенджеры — именно их такие кампании стараются унести в первую очередь.