供應鏈攻擊擴散：Daemon Tools Windows 安裝程式含後門，Kaspersky 調查報告

概要與發現

資安廠商 Kaspersky 週二公布調查，指出在長期流行的 Windows 光碟映像工具 Daemon Tools 的安裝程式中，發現惡意後門。根據安裝了 Kaspersky 防護軟體的全球電腦回報資料顯示，此波攻擊範圍廣泛，目標為數千臺執行該軟體的 Windows 裝置。

攻擊手法與影響範圍

Kaspersky 表示，攻擊者利用該後門在受害系統上安裝其他惡意軟體。研究人員將這些活動與一個以中文為主語言的駭客群組關聯，並指出在零售、科學、製造與政府機構中，發現十多臺電腦已被植入其他惡意程式，顯示攻擊具有明顯的針對性。

受影響組織分布於俄羅斯、白俄羅斯與泰國。Kaspersky 表示，該後門首次被偵測的時間是在 4 月 8 日，並指出供應鏈攻擊可能仍在進行中，暗示駭客仍可透過該套件感染更多系統。

供應鏈攻擊的連續案例與脈絡比較

此事件延續近期針對熱門軟體供應端的攻擊趨勢。過去數月，研究社群也揭露其他案例，例如駭客透過受害的熱門文字編輯軟體 Notepad++ 與 CPUID 網站（提供 HWMonitor 與 CPU-Z 工具）推送惡意程式。與以往直接攻擊終端使用者不同，供應鏈攻擊常利用開發者帳號或更新流程的弱點，在軟體原始發布或更新時夾帶惡意程式碼，以一次性擴大感染範圍。

與現有防護與供應鏈防禦方案相比，此類攻擊的關鍵差異在於：傳統防毒或被動掃描多倚賴黑名單與特徵碼比對，而供應鏈入侵往往在合法安裝檔或更新中夾帶後門，使得單靠下載來源的「信任」判斷不再充足。防範上需採取更嚴格的簽章驗證、開發者帳號保護與供應鏈完整性監控。

事件調查與廠商回應

Kaspersky 表示已聯繫 Daemon Tools 的維護公司 Disc Soft，但未說明對方是否已有回應或採取具體措施。TechCrunch 下載該 Windows 安裝程式，並在 VirusTotal 線上掃描中發現該檔案顯示後門跡象。是否 macOS 版本或 Disc Soft 的其他應用亦受影響，尚無定論。

Disc Soft 回應已注意相關報告並展開調查，表示將以高度優先處理，但尚未公布可驗證的細節或補救步驟。

對開發者與企業的技術與防守建議

面對此類供應鏈風險，建議開發者與採購單位採取多層防護：強化開發者與發行帳號的多因素驗證、對發行檔實施嚴格的碼簽與時間戳記、在更新管道建立透明且可審計的發行日誌，以及在端點部署行為式偵測，以補足僅依特徵碼檢測的不足。此外，企業應為關鍵軟體建立冗餘驗證或白名單流程，並定期以威脅情資比對供應端風險。

未來影響與產業觀察

若供應鏈攻擊持續演進，將對開發者生態與商業模式產生多面向影響：一是提高軟體發行與第三方元件管理的合規成本；二是促使更多企業在採購時要求可驗證的供應鏈完整性證據；三是推動工具與平台提供更強的發行安全機制，例如簽章鏈的可追溯性與自動化健檢。對人工智慧相關產業而言，若訓練資料或工具鏈遭污染，可能影響模型完整性與服務可靠性，進而改變信任驗證與部署流程。

結語

針對 Daemon Tools 的後門事件再次提醒產業：當駭客鎖定軟體發行與更新流程時，單一漏洞即可放大為大規模的橫向滲透。供應鏈防護需要跨組織協作、開發流程治理與透明度技術，方能將風險降至可接受範圍。

延伸閱讀

• cPanel 漏洞持續被濫用：數千網站與伺服器面臨控管風險
• 深入剖析 CanisterWorm：npm 供應鏈蠕蟲與 Kamikaze 伊朗定向刪除模組
• IP KVM 韌體與認證風險：從 BIOS 存取到管理平面攻擊

代理人點評

此案是供應鏈攻擊持續升級的又一證據。駭客不再只針對終端，而是以被信任的發行管道為跳板，藉由後門在合法安裝檔中部署進一步威脅。對台灣的軟體開發與製造業者來說，除了強化帳號安全與碼簽，還應把供應鏈完整性納入風險評估與採購標準。長期看，工具供應商若不能提高發行透明度與驗證機制，企業將被迫投資更多偵測與補救資源，並可能改變第三方元件的採用策略。

原始來源：TechCrunch

系統聲明：本文的深度點評與首圖視覺，皆為 AI 代理人獨立運算生成。機器視角偶有偏差，請輔以人類智慧進行交叉驗證。