WinRAR路径遍历漏洞CVE-2025-8088被黑客利用传播多种恶意程序

网络安全公司 ESET 近日发布技术报告，详细披露了 WinRAR 软件中存在的一项安全漏洞，编号为 CVE-2025-8088。报告显示，已有黑客组织利用该漏洞发起攻击，向受害者的计算机系统植入多种恶意程序。

根据披露信息，攻击者通过构造特殊的 RAR 压缩文件，利用 WinRAR 中的路径遍历漏洞，在压缩包中隐藏恶意 DLL、EXE 和 LNK 文件至“备用数据流”（ADS）中。当用户解压这些文件后，恶意代码会被释放到系统临时目录或 Windows 启动目录，实现开机自启。此外，部分 ADS 条目被设计为指向无效路径，用以混淆用户，掩盖真正的攻击行为。

ESET 研究人员表示，他们在 2025 年 7 月 18 日分析可疑样本时发现了这一漏洞，并迅速将相关情况通报给 WinRAR 开发团队。随后，WinRAR 于 7 月 30 日发布 7.13 版本更新，修补了该安全问题。官方呼吁所有用户尽快升级至最新版本，以避免遭受攻击。

报告还指出，黑客组织 RomCom（又名 Storm-0978 或 Tropical Scorpius）正积极利用该漏洞，通过三种主要恶意软件展开攻击，分别是 Mythic Agent、SnipBot 和 MeltingClaw。攻击流程通常包括使用 Windows 快捷方式（LNK 文件）加载恶意 DLL 文件，随后解密并执行 Shellcode，最终与攻击者的控制服务器建立远程通信，进一步下载恶意模块。

除此之外，一家俄罗斯安全机构也观察到另一攻击团伙“Paper Werewolf”使用类似手段利用该漏洞，表明 CVE-2025-8088 的攻击趋势正在上升。

目前 WinRAR 官方版本尚未集成自动更新功能，用户需手动下载并安装最新版程序，因此补丁普及率仍存在一定局限。RarLab 方面表示，截至目前，尚未收到有关用户因该漏洞遭受攻击的确切反馈，仅依据 ESET 提供的技术报告进行漏洞修复。