WinRAR CVE-2025-8088 漏洞攻击全链条细节首度公开

　　系统之家 8 月 12 日消息，近日，网络安全公司 ESET 披露，WinRAR 存在一个高危漏洞，编号为 CVE-2025-8088。该漏洞被黑客组织 RomCom（又称Storm-0978、Tropical Scorpius）利用，向用户设备植入多种恶意软件。这些恶意软件包括 Mythic Agent、SnipBot 及 MeltingClaw 等，能够在用户系统中执行任意代码，甚至实现开机自动运行。

　　系统之家此前报道，WinRAR 已于 2025 年 7 月 30 日发布补丁，并敦促 WinRAR 用户尽快升级到 7.13 及更高版本，以规避安全风险。

　　ESET 于 2025 年 7 月 18 日 8 日在分析可疑攻击样本后，识别出该漏洞并第一时间通报 WinRAR 开发方。

　　据 ESET 报告，攻击者通过构造特定 RAR 压缩包，利用 WinRAR 路径遍历缺陷，将恶意 DLL、EXE 及 LNK 文件隐藏于“备用数据流”（ADS）中。

　　在用户解压文件之后，这些恶意文件被提取到 % TEMP%、% LOCALAPPDATA% 等临时目录，以及 Windows 启动目录，从而实现在系统启动时自动运行恶意程序，部分 ADS 条目则故意指向无效路径，用于干扰用户视线，掩盖实际威胁。

　　ESET 进一步揭示了三条典型攻击链，分别对应 RomCom 旗下的三大恶意软件：Mythic Agent、SnipBot 及 MeltingClaw。攻击流程通常借助 Windows 快捷方式（LNK 文件）引导加载 DLL、解密并执行 Shellcode，最终建立与攻击者的远程控制（C2）通信，下载后续恶意模块。

　　Mythic Agent

　　SnipBot

　　MeltingClaw

　　值得注意的是，俄罗斯本土安全公司 Bi.Zone 也监测到另一攻击团伙“Paper Werewolf”利用该漏洞实施类似攻击，显示 CVE-2025-8088 的利用已呈多发趋势。

　　2025 年 7 月 30 日，WinRAR 发布 7.13 版补丁修复 CVE-2025-8088 漏洞。然而，因其缺乏自动更新功能，用户需自行手动下载安装新版，导致补丁覆盖率有限。RarLab 公司称，除 ESET 技术通报外，并未收到用户实际遭遇攻击的反馈。

　　以上是系统之家提供的最新资讯，感谢您的阅读，更多精彩内容请关注系统之家官网。