虚拟光驱工具Daemon Tools近日被曝遭遇供应链攻击,攻击者通过其官方供应商网站分发被篡改的安装包,将恶意代码植入正常软件发布流程。
据Techzin等媒体援引Kaspersky全球研究与分析团队(GReAT)消息,自本月8日(当地时间)起,相关恶意安装包已通过Daemon Tools官方供应商网站对外提供下载,并在近一个月内未被发现。受影响版本为12.5.0.2421至12.5.0.2434。
Kaspersky表示,此次事件中有三项核心可执行文件遭到篡改,导致设备每次启动时都会激活后门。由于此类虚拟光驱工具通常拥有较高系统权限,恶意代码也更容易在操作系统中深度驻留。
从影响范围看,Kaspersky已在100多个国家记录到数千次感染尝试,其中约10%的受害系统来自企业环境。多数受害设备仅被下发信息收集载荷,用于采集MAC地址、主机名、运行进程、已安装软件及语言设置等信息。
不过,在俄罗斯、白俄罗斯和泰国,攻击者还在零售、科研、政府和制造等机构的十余台设备上,手动部署了Shellcode注入器以及此前未知的远程访问工具(RAT)。
Kaspersky高级安全研究员Georgy Kucherin表示,用户通常更容易信任直接从官方厂商下载、且带有数字签名的软件,这也使此类攻击能够绕过传统边界安全防护。Kaspersky指出,这次事件与2023年的3CX供应链攻击相似,同样在近一个月内未被发现。
这是Kaspersky在2026年确认的第四起供应链入侵事件。该公司遥测数据显示,截至2025年末,在开源项目中发现的恶意软件包约为1.95万个,同比增长37%。
目前,Daemon Tools开发商AVB Disc Soft已收到有关恶意代码的通报。Kaspersky表示,已能够识别并阻止运行被植入恶意代码的安装文件,并建议已安装Daemon Tools相关版本的设备立即隔离,同时检查8日之后是否出现异常活动。
Chi-gyu Hwang
delight@d-today.co.kr