文章总结： 本文通报了仿冒7-zip官网的第三方站点实施供应链投毒事件。攻击者利用高度相似的域名与页面布局迷惑用户，在特定时间段将下载链接替换为恶意程序。该恶意程序具备窃取凭据与远控功能。文章分析了攻击链路并给出排查建议，提醒用户从官方渠道下载软件并检查特定目录与服务。 综合评分： 81 文章分类： 供应链安全,威胁情报,恶意软件,应急响应,安全意识

7zip第三方网站“投毒”事件流程

松杨网络安全资料库

2026年2月27日 14:38 广东

风险通告

近期监测发现，存在仿冒 7-zip官方网站的第三方站点，通过篡改下载链接传播恶意程序，用户下载安装后可能面临终端感染风险。

该仿冒网站在特定时间段内将原本指向官方安装程序的下载链接替换为带有恶意可执行文件的伪装安装程序，具有较强迷惑性。

官网与仿冒网站的对比

7-zip官网： https://www.7-zip.org/

第三方网站：https://7-zip.com/

仿冒网站在页面布局、视觉风格、下载说明等方面与官方网站高度一致，普通用户难以通过界面区分。

在正常情况下，该站点下载链接指向官方程序，但在2026年1月12日-2026年1月22日期间被替换为仿冒安装程序，从而实施“投毒”行为。

事件分析

本次事件具有以下特征：

1.域名高度相似：

通告注册与官方网站高度相似的域名，提高用户的识别难度。

2.页面完成一致：

网站界面、下载按钮、版本说明均与官网一致，提高用户的信任。

3.特定时间段替换文件：

长期挂载官方安装程序，在特定的时间段将指向官方安装程序的链接替换为恶意程序的链接。

4.利用软件下载环节实施供应链攻击：

攻击的目标不是软件本身，而是利用用户对软件的信任作为突破口。

此次事件是一例经典的供应链投毒事件。

攻击链路

1.引流阶段

通过注册与官网相似域名如https://7-zip.com，样式与官网页面相同，提升可信度。

用户可通过搜索引擎结果进入仿冒网站。

2.下载阶段

仿冒网站下载链接常态指向官方安装程序。但在2026年1月12日-1月22日期间，下载链接被替换成伪装成7-zip安装程序的恶意可执行文件，该文件文件名、图标、版本信息与官方版本高度一致。

3.执行阶段

用户运行安装程序后：

（1）恶意代码被加载执行

（2）释放后续载荷（如信息窃取模块或远控组件）

（3）建立持久化机制（启动项/计划任务/注册表项）

4.控制与利用阶段

感染终端可能被用于：

（1）窃取浏览器凭据、Cookie、账号密码。

（2）收集本地文件信息并外传。

（3）作为内网横向移动跳板。

（4）为后续勒索攻击或数据窃取行动做准备。

攻击链路图如下：

排查措施

1.文件来源

7-zip文件是否从官方网站https://www.7-zip.org获取下载。

2.恶意文件存在

文件夹C:\Windows\SysWOW64\hero\是否存在。

3.查看服务

“Helper Service”服务是否存在。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：松杨网络安全资料库 《7zip第三方网站“投毒”事件流程》