答案已發布2026年5月5日Last edited 2026年5月6日10 個來源

DigiCert 螢幕保護程式攻擊：EV 程式碼簽署憑證被濫用的警訊

這起事件觸及程式碼簽署的信任鏈：攻擊者取得有限數量憑證的初始化碼，部分憑證後續被用來簽署惡意軟體。攻擊入口是 2026 年 4 月 2 日的一個支援聊天訊息：ZIP 檔偽裝成客戶截圖，實際包含帶有惡意酬載的 .scr 螢幕保護程式檔。對資安團隊而言，數位簽章應是判斷依據之一，而不是放行或信任檔案的唯一理由。

使用 Studio Global AI 搜尋並查證事實探索更多內容

4.8K0

Symbolbild zu einem Cyberangriff auf digitale Zertifikate und Code-Signing-Vertrauen — DigiCert-Hack per Screensaver: Was die EV-Code-Signing-Zertifikate für die Sicherheit bedeutenKI-generiertes Symbolbild zum DigiCert-Screensaver-Angriff und dem Missbrauch von EV-Code-Signing-Zertifikaten.
AI 提示詞
Create a landscape editorial hero image for this Studio Global article: DigiCert-Hack per Screensaver: Was die EV-Code-Signing-Zertifikate für die Sicherheit bedeuten. Article summary: Der DigiCert Vorfall gefährdete vor allem die Code Signing Vertrauenskette: Angreifer erlangten EV Code Signing Zertifikate, von denen einige zum Signieren von Malware genutzt wurden; die identifizierten Zertifikate w.... Topic tags: cybersecurity, digicert, code signing, malware, certificates. Reference image context from search candidates: Reference image 1: visual subject "A targeted social engineering attack against DigiCert’s support channel led to the compromise of internal systems and the unauthorized issuance of EV Code Signing certificates. Acc" source context "DigiCert breached via malicious screensaver file - Help Net Security" Reference image 2: visual subject "DigiCert Revokes 60 EV Code Signi
openai.com

一個看似普通的客服支援對話，最後碰到了軟體供應鏈裡非常敏感的一環：程式碼簽署。Mozilla Bugzilla 上的事件說明記載，2026 年 4 月 2 日，攻擊者透過客戶聊天管道聯絡 DigiCert 支援團隊，送出一個偽裝成客戶截圖的 ZIP 檔，裡面其實是帶有惡意酬載的 .scr 可執行檔 ^[12]。後續報告指出，攻擊者透過遭入侵的支援系統取得有限數量程式碼簽署憑證的初始化碼，其中部分憑證被用來簽署惡意軟體 ^[1]。

攻擊鏈：從「截圖」到支援入口

這次事件的起點不是高深的密碼學漏洞，而是針對支援人員的社交工程。Help Net Security 的描述與事件文件一致：攻擊者把惡意 ZIP 檔包裝成客戶提供的截圖，而檔案內含的是 Windows 螢幕保護程式格式的 .scr 檔 ^[2]。

SecurityWeek 報導，惡意軟體感染了兩個端點，其中一個在 4 月 3 日被發現，另一個則在 4 月 14 日才被識別 ^[10]。攻擊者據稱從受感染系統轉向內部支援入口；該入口有一項受限功能，可讓已驗證的 DigiCert 支援分析師切換到客戶帳戶視角，並存取特定功能，包括待處理憑證的初始化碼 ^[10]。BleepingComputer 也將影響範圍描述為有限，但更具體指出，外洩內容涉及已核准、尚未交付的 EV 程式碼簽署憑證初始化碼 ^[5]。

為什麼 EV 程式碼簽署憑證值得攻擊者下手

程式碼簽署憑證是軟體信任鏈的一部分，用來協助判斷軟體的來源與完整性。DigiCert 作為憑證授權機構，在網際網路通訊與軟體散布的信任基礎中扮演重要角色，其程式碼簽署憑證也被軟體開發者廣泛使用 ^[11]。

因此，這起事件的重點不只是「支援系統被入侵」，而是攻擊者得以借用憑證帶來的信任效果。ThreatNoir 報導，部分取得的程式碼簽署憑證被用來簽署惡意軟體 ^[1]。CyberInsider 也描述，攻擊者濫用遭入侵的內部支援系統與憑證簽發資料，以取得有效的 EV 程式碼簽署憑證，且部分憑證後續被用於簽署惡意軟體 ^[11]。

這之所以危險，是因為帶有有效簽章的惡意檔案，在第一時間可能看起來更像合法軟體。Vectra 對這類手法的概括是：攻擊者可利用 EV 憑證簽署惡意檔案，借用 EV 簽署應用程式通常具備的較高信任度；若組織只依賴簽章式信任，仍會暴露在風險中 ^[15]。

目前沒有證據顯示根金鑰或 CA 金鑰遭入侵

需要清楚區分的是：現有來源描述的是支援端點遭入侵、內部支援功能遭濫用，以及初始化碼被取得 ^[1]^[5]^[10]^[12]。這些報導並未證明 DigiCert 的根金鑰或 CA 金鑰遭到攻破。

這不代表事件不嚴重。比較準確的說法是，依目前公開資料，這不是整個憑證授權機構被全面接管，而是圍繞支援與憑證交付流程的濫用事件；它的嚴重性在於攻擊者把程式碼簽署的信任訊號轉化成惡意軟體的掩護 ^[1]^[5]^[10]。

影響規模：數字要看清楚分類

公開報導中的數字並不完全一致，原因之一是各來源談的可能不是同一類指標：

ThreatNoir 稱，攻擊者取得的是有限數量的程式碼簽署憑證初始化碼，其中少數被用來簽署惡意軟體 ^[1]。
Risky Business 報導有 27 張遭竊的程式碼簽署憑證，後續被用來簽署惡意軟體 ^[8]。
ThreatLocker 則提到 DigiCert 總共撤銷了 60 張程式碼簽署憑證 ^[3]。

因此，判讀事件規模時要分清楚：來源是在談「取得」、「遭濫用」還是「被撤銷」的憑證。即使整體範圍被描述為有限，少數看似有效的程式碼簽署憑證，也足以在惡意軟體活動中製造信任錯覺 ^[1]^[15]。

應變：撤銷憑證、取消待處理訂單

BleepingComputer 報導，DigiCert 在發現後 24 小時內撤銷已識別的憑證，並將撤銷日期回溯設定為憑證簽發日期 ^[5]。受影響時間窗內的待處理訂單，也被預防性取消 ^[5]。ThreatNoir 同樣指出，受影響憑證在發現後 24 小時內撤銷，相關時間窗內的待處理訂單遭取消 ^[1]。

撤銷可以限制後續濫用，但不代表防禦工作就此結束。資安團隊仍需要結合憑證資料、雜湊值、檔案行為與威脅情資脈絡來判斷可疑檔案，因為 EV 簽章本身可能被攻擊者刻意拿來當作信任包裝 ^[15]。

另一個麻煩：Microsoft Defender 的誤報

事件前後還出現了額外混亂。BleepingComputer 報導，Microsoft Defender 曾將 DigiCert 憑證誤判為 Trojan:Win32/Cerdigent.A!dha ^[5]。daily.dev 則整理稱，Defender 在 2026 年 4 月 30 日的一次簽章更新後，錯誤標記合法的 DigiCert 根憑證；Microsoft 後續透過 Security Intelligence 更新 1.449.430.0 修正，並還原遭移除的憑證 ^[7]。

對企業來說，這是很實際的事件應變難題：團隊必須同時分辨真正的憑證濫用、帶有可疑簽章的惡意軟體警報，以及針對合法憑證的誤報 ^[5]^[7]。

資安團隊該記住的幾件事

這起事件並不代表程式碼簽署失去價值。真正的教訓是：程式碼簽章只能是信任訊號之一，不能是唯一判準。

驗證簽章，不要盲目信任。 有效簽章或 EV 簽章不應自動等於檔案安全；攻擊者確實會利用 EV 憑證簽署惡意檔案，來借用其較高信任度 ^[15]。
看憑證細節。 發行者、序號、憑證鏈、時間戳與撤銷狀態都很重要；在 DigiCert 事件中，撤銷憑證並將撤銷日期回溯至簽發日，是關鍵的控管措施之一 ^[5]。
把行為分析放在同等甚至更高的位置。 雜湊值、程序行為、網路連線、持久化機制與沙箱結果，應與簽章資訊一起評估；簽署過的惡意軟體本來就是要利用信任落差 ^[15]。
把支援與管理入口視為高風險區。 這起事件顯示，即使是受限的支援功能，只要能接觸客戶帳戶或憑證初始化碼，也可能成為高價值攻擊面 ^[10]。
處理憑證警報時保留誤報判斷。 Defender 事件提醒我們，憑證相關警報不一定等於真實感染；daily.dev 報導稱，合法 DigiCert 根憑證曾被錯誤偵測，並由 Microsoft 更新修正 ^[7]。

結論

DigiCert 事件的資安意義，在於攻擊者把 EV 程式碼簽署憑證的信任效果反過來用在防禦者身上。現有報告指向的是支援系統、初始化碼與被濫用憑證所構成的有限事件，而不是根金鑰或 CA 金鑰被攻破 ^[1]^[5]^[10]^[12]。但它傳達的訊息很明確：在現代惡意軟體防禦中，數位簽章很重要，卻永遠不該是最後一句話。

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜尋並查證事實

重點整理

這起事件觸及程式碼簽署的信任鏈：攻擊者取得有限數量憑證的初始化碼，部分憑證後續被用來簽署惡意軟體。
攻擊入口是 2026 年 4 月 2 日的一個支援聊天訊息：ZIP 檔偽裝成客戶截圖，實際包含帶有惡意酬載的 .scr 螢幕保護程式檔。
對資安團隊而言，數位簽章應是判斷依據之一，而不是放行或信任檔案的唯一理由。

大家也會問

「DigiCert 螢幕保護程式攻擊：EV 程式碼簽署憑證被濫用的警訊」的簡短答案是什麼？

這起事件觸及程式碼簽署的信任鏈：攻擊者取得有限數量憑證的初始化碼，部分憑證後續被用來簽署惡意軟體。

最值得優先驗證的重點是什麼？

這起事件觸及程式碼簽署的信任鏈：攻擊者取得有限數量憑證的初始化碼，部分憑證後續被用來簽署惡意軟體。攻擊入口是 2026 年 4 月 2 日的一個支援聊天訊息：ZIP 檔偽裝成客戶截圖，實際包含帶有惡意酬載的 .scr 螢幕保護程式檔。

接下來在實務上該怎麼做？

對資安團隊而言，數位簽章應是判斷依據之一，而不是放行或信任檔案的唯一理由。

下一步適合探索哪個相關主題？

繼續閱讀「Claude Security 公測版：Anthropic 的企業程式碼漏洞掃描工具」，從另一個角度查看更多引用來源。

開啟相關頁面

我應該拿這個和什麼比較？

將這個答案與「Grok 4.3 API 解讀：1M 上下文、低 token 價格，xAI 想搶下哪個入口？」交叉比對。

開啟相關頁面

繼續深入研究

IT Consulting Orange County CA, IT Services, IT Outsourcing - Technijian. # Anthropic Claude Security for Enterprise: What You Need to Know. Anthropic has officially opened Claude

Claude Security 公測版：Anthropic 的企業程式碼漏洞掃描工具

Claude Security 公測版詳解：Anthropic 如何用 AI 掃描企業程式碼漏洞

抽象 AI 介面顯示 Grok 4.3 API、1M context、token 價格與語音波形

Grok 4.3 API 解讀：1M 上下文、低 token 價格，xAI 想搶下哪個入口？

Grok 4.3 API：1M context 與 $1.25/$2.50 定價，對模型與語音競爭意味什麼

小米 Q5 不是 MIX 5？最新線索更像指向小米 18 系列

小米 Q5 是 MIX 5 嗎？目前更可能是小米 18 系列線索

Metas KI-Altersprüfung: Neue Regeln für Jugendliche in EU, USA und Brasilien

Meta用AI查年齡：Instagram與Facebook青少年保護新規一次看

研究對話

你2026年5月5日

研究問題

Welche Sicherheitsfolgen hatte der DigiCert-Vorfall, bei dem Angreifer über eine manipulierte Screensaver-Datei EV-Code-Signing-Zertifikate erlangten?

Studio Global AI2026年5月5日32 個來源

附引用的答案

Der Vorfall hatte vor allem Folgen für die Vertrauenskette von Code-Signing: Angreifer konnten gültig wirkende EV-Code-Signing-Zertifikate erlangen und damit Malware signieren, wodurch Schadsoftware legitimer erscheinen konnte. Die bekannten betroffenen Zertifikate wurden laut Berichten innerhalb von 24 Stunden nach Entdeckung widerrufen; Hinweise auf eine Kompromittierung von DigiCert-Root- oder CA-Schlüsseln sehe ich in den vorliegenden Quellen nicht.

Angriffsweg: Ein Angreifer kontaktierte DigiCerts Support über einen Chat-Kanal und lieferte eine ZIP-Datei, die als Screenshot getarnt war, tatsächlich aber eine schädliche .scr-Screensaver-Datei enthielt ^[12].
Direkte Sicherheitsfolge: Über kompromittierte Support-/interne Systeme konnten Angreifer Initialisierungscodes bzw. Zugang zur Ausstellung einer begrenzten Zahl von Code-Signing-Zertifikaten erlangen ^[1].
Missbrauch: Einige der erlangten EV-Code-Signing-Zertifikate wurden zum Signieren von Malware verwendet ^[1]. Das ist sicherheitsrelevant, weil signierte Malware bei Nutzern, Betriebssystemen und Sicherheitsprodukten zunächst vertrauenswürdiger wirken kann.
Umfang: Risky Business berichtet von 27 gestohlenen Code-Signing-Zertifikaten, die später zum Signieren von Malware genutzt wurden ^[8]. Andere Quellen formulieren vorsichtiger als „begrenzte Zahl“, daher ist die genaue Zahl mit etwas Vorsicht zu behandeln ^[1].
Eindämmung: DigiCert widerrief die identifizierten Zertifikate laut Bericht innerhalb von 24 Stunden nach Entdeckung und setzte das Widerrufsdatum auf das Ausstellungsdatum zurück ^[5].
Zusätzliche Maßnahmen: Pending Orders im betroffenen Zeitraum wurden vorsorglich storniert ^[5].
Praktische Folge für Verteidiger: Organisationen sollten Signaturen allein nicht als Vertrauensbeweis behandeln, sondern Hashes, Zertifikatsseriennummern, Aussteller, Zeitstempel, Verhalten und Threat-Intel-Indikatoren gemeinsam prüfen.

來源

[1] 2033170 - DigiCert: Misissued code signing certificates | ThreatNoirthreatnoir.com
DigiCert disclosed that a threat actor compromised a customer support team member and obtained initialization codes for a limited number of code signing certificates, some of which were used to sign malware. The affected certificates were revoked within 24...
[2] DigiCert breached via malicious screensaver filehelpnetsecurity.com
A targeted social engineering attack against DigiCert’s support channel led to the compromise of internal systems and the unauthorized issuance of EV Code Signing certificates. ... According to DigiCert’s incident report, a threat actor contacted the suppor...
[3] DigiCert compromise precedes widespread Microsoft ...threatlocker.com
Attackers recently compromised DigiCert’s support channel and delivered a malicious payload disguised as a screenshot. The malware infected two entry points, both of which had malfunctioning security solutions running at the time. Because DigiCert’s authent...
[5] Microsoft Defender wrongly flags DigiCert certs as Trojan: ...bleepingcomputer.com
"The identified certificates were revoked within 24 hours of discovery and the revocation date set to their date of issuance. As a precautionary measure, pending orders within the window of interest were cancelled. Additional details will be provided in our...
[7] Microsoft Defender wrongly flags DigiCert certs as... - daily.devapp.daily.dev
Microsoft Defender wrongly flags DigiCert certs as Trojan:Win32/Cerdigent.A!dha Microsoft Defender began incorrectly flagging legitimate DigiCert root certificates as Trojan:Win32/Cerdigent.A!dha following a signature update on April 30th. The false positiv...
[8] DigiCert hacked with a malicious screensaver filerisky.biz
A threat actor gained access to DigiCert's backend and stole 27 code signing certificates they later used to sign malware. The incident took place last month and was traced back to a social engineering attack that successfully compromised two employees of D...
[10] DigiCert Revokes Certificates After Support Portal Hacksecurityweek.com
The malware infected two endpoints, one of which was identified on April 3, and another on April 14. DigiCert blames the late discovery of the second infection on the malfunctioning security solutions running on the endpoint. According to the company, the h...
[11] DigiCert suffers breach, stolen certificates used to sign malwarecyberinsider.com
DigiCert suffers breach, stolen certificates used to sign malware ... DigiCert has disclosed a security incident in which attackers compromised internal support systems and abused stolen certificate issuance data to obtain valid EV code signing certificates...
[12] DigiCert: Misissued code signing certificates - Bugzilla@Mozillabugzilla.mozilla.org
- Incident description: On 2026-04-02, a threat actor contacted DigiCert's support team via a customer chat channel and delivered a ZIP file disguised as a customer screenshot. The file contained a .scr executable with a malicious payload. CrowdStrike and o...
[15] How Threat Actors Weaponize EV Certificates by Lucie Cardietvectra.ai
Leaked internal chat logs reveal a coordinated strategy in which Black Basta affiliates use Extended Validation (EV) certificates to sign malicious files . This tactic leverages the enhanced trust typically associated with EV-signed applications. Organizati...

熱門探索內容

答案已發布2026年5月5日Last edited 2026年5月6日10 個來源

DigiCert 螢幕保護程式攻擊：EV 程式碼簽署憑證被濫用的警訊

使用 Studio Global AI 搜尋並查證事實探索更多內容

4.8K0

攻擊鏈：從「截圖」到支援入口

為什麼 EV 程式碼簽署憑證值得攻擊者下手

目前沒有證據顯示根金鑰或 CA 金鑰遭入侵

影響規模：數字要看清楚分類

公開報導中的數字並不完全一致，原因之一是各來源談的可能不是同一類指標：

ThreatNoir 稱，攻擊者取得的是有限數量的程式碼簽署憑證初始化碼，其中少數被用來簽署惡意軟體 ^[1]。
Risky Business 報導有 27 張遭竊的程式碼簽署憑證，後續被用來簽署惡意軟體 ^[8]。
ThreatLocker 則提到 DigiCert 總共撤銷了 60 張程式碼簽署憑證 ^[3]。

應變：撤銷憑證、取消待處理訂單

另一個麻煩：Microsoft Defender 的誤報

對企業來說，這是很實際的事件應變難題：團隊必須同時分辨真正的憑證濫用、帶有可疑簽章的惡意軟體警報，以及針對合法憑證的誤報 ^[5]^[7]。

資安團隊該記住的幾件事

這起事件並不代表程式碼簽署失去價值。真正的教訓是：程式碼簽章只能是信任訊號之一，不能是唯一判準。

驗證簽章，不要盲目信任。 有效簽章或 EV 簽章不應自動等於檔案安全；攻擊者確實會利用 EV 憑證簽署惡意檔案，來借用其較高信任度 ^[15]。
看憑證細節。 發行者、序號、憑證鏈、時間戳與撤銷狀態都很重要；在 DigiCert 事件中，撤銷憑證並將撤銷日期回溯至簽發日，是關鍵的控管措施之一 ^[5]。
把行為分析放在同等甚至更高的位置。 雜湊值、程序行為、網路連線、持久化機制與沙箱結果，應與簽章資訊一起評估；簽署過的惡意軟體本來就是要利用信任落差 ^[15]。
把支援與管理入口視為高風險區。 這起事件顯示，即使是受限的支援功能，只要能接觸客戶帳戶或憑證初始化碼，也可能成為高價值攻擊面 ^[10]。
處理憑證警報時保留誤報判斷。 Defender 事件提醒我們，憑證相關警報不一定等於真實感染；daily.dev 報導稱，合法 DigiCert 根憑證曾被錯誤偵測，並由 Microsoft 更新修正 ^[7]。

結論

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜尋並查證事實

重點整理

這起事件觸及程式碼簽署的信任鏈：攻擊者取得有限數量憑證的初始化碼，部分憑證後續被用來簽署惡意軟體。
攻擊入口是 2026 年 4 月 2 日的一個支援聊天訊息：ZIP 檔偽裝成客戶截圖，實際包含帶有惡意酬載的 .scr 螢幕保護程式檔。
對資安團隊而言，數位簽章應是判斷依據之一，而不是放行或信任檔案的唯一理由。

大家也會問

「DigiCert 螢幕保護程式攻擊：EV 程式碼簽署憑證被濫用的警訊」的簡短答案是什麼？

這起事件觸及程式碼簽署的信任鏈：攻擊者取得有限數量憑證的初始化碼，部分憑證後續被用來簽署惡意軟體。

最值得優先驗證的重點是什麼？

接下來在實務上該怎麼做？

對資安團隊而言，數位簽章應是判斷依據之一，而不是放行或信任檔案的唯一理由。

下一步適合探索哪個相關主題？

繼續閱讀「Claude Security 公測版：Anthropic 的企業程式碼漏洞掃描工具」，從另一個角度查看更多引用來源。

開啟相關頁面

我應該拿這個和什麼比較？

將這個答案與「Grok 4.3 API 解讀：1M 上下文、低 token 價格，xAI 想搶下哪個入口？」交叉比對。

開啟相關頁面

繼續深入研究

Claude Security 公測版：Anthropic 的企業程式碼漏洞掃描工具

Claude Security 公測版詳解：Anthropic 如何用 AI 掃描企業程式碼漏洞

Grok 4.3 API 解讀：1M 上下文、低 token 價格，xAI 想搶下哪個入口？

Grok 4.3 API：1M context 與 $1.25/$2.50 定價，對模型與語音競爭意味什麼

小米 Q5 不是 MIX 5？最新線索更像指向小米 18 系列

小米 Q5 是 MIX 5 嗎？目前更可能是小米 18 系列線索

Meta用AI查年齡：Instagram與Facebook青少年保護新規一次看

研究對話

你2026年5月5日

研究問題

Welche Sicherheitsfolgen hatte der DigiCert-Vorfall, bei dem Angreifer über eine manipulierte Screensaver-Datei EV-Code-Signing-Zertifikate erlangten?

Studio Global AI2026年5月5日32 個來源

附引用的答案

Angriffsweg: Ein Angreifer kontaktierte DigiCerts Support über einen Chat-Kanal und lieferte eine ZIP-Datei, die als Screenshot getarnt war, tatsächlich aber eine schädliche .scr-Screensaver-Datei enthielt ^[12].
Direkte Sicherheitsfolge: Über kompromittierte Support-/interne Systeme konnten Angreifer Initialisierungscodes bzw. Zugang zur Ausstellung einer begrenzten Zahl von Code-Signing-Zertifikaten erlangen ^[1].
Missbrauch: Einige der erlangten EV-Code-Signing-Zertifikate wurden zum Signieren von Malware verwendet ^[1]. Das ist sicherheitsrelevant, weil signierte Malware bei Nutzern, Betriebssystemen und Sicherheitsprodukten zunächst vertrauenswürdiger wirken kann.
Umfang: Risky Business berichtet von 27 gestohlenen Code-Signing-Zertifikaten, die später zum Signieren von Malware genutzt wurden ^[8]. Andere Quellen formulieren vorsichtiger als „begrenzte Zahl“, daher ist die genaue Zahl mit etwas Vorsicht zu behandeln ^[1].
Eindämmung: DigiCert widerrief die identifizierten Zertifikate laut Bericht innerhalb von 24 Stunden nach Entdeckung und setzte das Widerrufsdatum auf das Ausstellungsdatum zurück ^[5].
Zusätzliche Maßnahmen: Pending Orders im betroffenen Zeitraum wurden vorsorglich storniert ^[5].
Praktische Folge für Verteidiger: Organisationen sollten Signaturen allein nicht als Vertrauensbeweis behandeln, sondern Hashes, Zertifikatsseriennummern, Aussteller, Zeitstempel, Verhalten und Threat-Intel-Indikatoren gemeinsam prüfen.

來源

[1] 2033170 - DigiCert: Misissued code signing certificates | ThreatNoirthreatnoir.com
DigiCert disclosed that a threat actor compromised a customer support team member and obtained initialization codes for a limited number of code signing certificates, some of which were used to sign malware. The affected certificates were revoked within 24...
[2] DigiCert breached via malicious screensaver filehelpnetsecurity.com
A targeted social engineering attack against DigiCert’s support channel led to the compromise of internal systems and the unauthorized issuance of EV Code Signing certificates. ... According to DigiCert’s incident report, a threat actor contacted the suppor...
[3] DigiCert compromise precedes widespread Microsoft ...threatlocker.com
Attackers recently compromised DigiCert’s support channel and delivered a malicious payload disguised as a screenshot. The malware infected two entry points, both of which had malfunctioning security solutions running at the time. Because DigiCert’s authent...
[5] Microsoft Defender wrongly flags DigiCert certs as Trojan: ...bleepingcomputer.com
"The identified certificates were revoked within 24 hours of discovery and the revocation date set to their date of issuance. As a precautionary measure, pending orders within the window of interest were cancelled. Additional details will be provided in our...
[7] Microsoft Defender wrongly flags DigiCert certs as... - daily.devapp.daily.dev
Microsoft Defender wrongly flags DigiCert certs as Trojan:Win32/Cerdigent.A!dha Microsoft Defender began incorrectly flagging legitimate DigiCert root certificates as Trojan:Win32/Cerdigent.A!dha following a signature update on April 30th. The false positiv...
[8] DigiCert hacked with a malicious screensaver filerisky.biz
A threat actor gained access to DigiCert's backend and stole 27 code signing certificates they later used to sign malware. The incident took place last month and was traced back to a social engineering attack that successfully compromised two employees of D...
[10] DigiCert Revokes Certificates After Support Portal Hacksecurityweek.com
The malware infected two endpoints, one of which was identified on April 3, and another on April 14. DigiCert blames the late discovery of the second infection on the malfunctioning security solutions running on the endpoint. According to the company, the h...
[11] DigiCert suffers breach, stolen certificates used to sign malwarecyberinsider.com
DigiCert suffers breach, stolen certificates used to sign malware ... DigiCert has disclosed a security incident in which attackers compromised internal support systems and abused stolen certificate issuance data to obtain valid EV code signing certificates...
[12] DigiCert: Misissued code signing certificates - Bugzilla@Mozillabugzilla.mozilla.org
- Incident description: On 2026-04-02, a threat actor contacted DigiCert's support team via a customer chat channel and delivered a ZIP file disguised as a customer screenshot. The file contained a .scr executable with a malicious payload. CrowdStrike and o...
[15] How Threat Actors Weaponize EV Certificates by Lucie Cardietvectra.ai
Leaked internal chat logs reveal a coordinated strategy in which Black Basta affiliates use Extended Validation (EV) certificates to sign malicious files . This tactic leverages the enhanced trust typically associated with EV-signed applications. Organizati...

熱門探索內容

答案已發布2026年5月5日Last edited 2026年5月6日10 個來源

DigiCert 螢幕保護程式攻擊：EV 程式碼簽署憑證被濫用的警訊

使用 Studio Global AI 搜尋並查證事實探索更多內容

4.8K0

攻擊鏈：從「截圖」到支援入口

為什麼 EV 程式碼簽署憑證值得攻擊者下手

目前沒有證據顯示根金鑰或 CA 金鑰遭入侵

影響規模：數字要看清楚分類

公開報導中的數字並不完全一致，原因之一是各來源談的可能不是同一類指標：

ThreatNoir 稱，攻擊者取得的是有限數量的程式碼簽署憑證初始化碼，其中少數被用來簽署惡意軟體 ^[1]。
Risky Business 報導有 27 張遭竊的程式碼簽署憑證，後續被用來簽署惡意軟體 ^[8]。
ThreatLocker 則提到 DigiCert 總共撤銷了 60 張程式碼簽署憑證 ^[3]。

應變：撤銷憑證、取消待處理訂單

另一個麻煩：Microsoft Defender 的誤報

對企業來說，這是很實際的事件應變難題：團隊必須同時分辨真正的憑證濫用、帶有可疑簽章的惡意軟體警報，以及針對合法憑證的誤報 ^[5]^[7]。

資安團隊該記住的幾件事

這起事件並不代表程式碼簽署失去價值。真正的教訓是：程式碼簽章只能是信任訊號之一，不能是唯一判準。

驗證簽章，不要盲目信任。 有效簽章或 EV 簽章不應自動等於檔案安全；攻擊者確實會利用 EV 憑證簽署惡意檔案，來借用其較高信任度 ^[15]。
看憑證細節。 發行者、序號、憑證鏈、時間戳與撤銷狀態都很重要；在 DigiCert 事件中，撤銷憑證並將撤銷日期回溯至簽發日，是關鍵的控管措施之一 ^[5]。
把行為分析放在同等甚至更高的位置。 雜湊值、程序行為、網路連線、持久化機制與沙箱結果，應與簽章資訊一起評估；簽署過的惡意軟體本來就是要利用信任落差 ^[15]。
把支援與管理入口視為高風險區。 這起事件顯示，即使是受限的支援功能，只要能接觸客戶帳戶或憑證初始化碼，也可能成為高價值攻擊面 ^[10]。
處理憑證警報時保留誤報判斷。 Defender 事件提醒我們，憑證相關警報不一定等於真實感染；daily.dev 報導稱，合法 DigiCert 根憑證曾被錯誤偵測，並由 Microsoft 更新修正 ^[7]。

結論

Studio Global AI

Search, cite, and publish your own answer

Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.

使用 Studio Global AI 搜尋並查證事實

重點整理

這起事件觸及程式碼簽署的信任鏈：攻擊者取得有限數量憑證的初始化碼，部分憑證後續被用來簽署惡意軟體。
攻擊入口是 2026 年 4 月 2 日的一個支援聊天訊息：ZIP 檔偽裝成客戶截圖，實際包含帶有惡意酬載的 .scr 螢幕保護程式檔。
對資安團隊而言，數位簽章應是判斷依據之一，而不是放行或信任檔案的唯一理由。

大家也會問

「DigiCert 螢幕保護程式攻擊：EV 程式碼簽署憑證被濫用的警訊」的簡短答案是什麼？

這起事件觸及程式碼簽署的信任鏈：攻擊者取得有限數量憑證的初始化碼，部分憑證後續被用來簽署惡意軟體。

最值得優先驗證的重點是什麼？

接下來在實務上該怎麼做？

對資安團隊而言，數位簽章應是判斷依據之一，而不是放行或信任檔案的唯一理由。

下一步適合探索哪個相關主題？

繼續閱讀「Claude Security 公測版：Anthropic 的企業程式碼漏洞掃描工具」，從另一個角度查看更多引用來源。

開啟相關頁面

我應該拿這個和什麼比較？

將這個答案與「Grok 4.3 API 解讀：1M 上下文、低 token 價格，xAI 想搶下哪個入口？」交叉比對。

開啟相關頁面

繼續深入研究

研究對話

你2026年5月5日

研究問題

Welche Sicherheitsfolgen hatte der DigiCert-Vorfall, bei dem Angreifer über eine manipulierte Screensaver-Datei EV-Code-Signing-Zertifikate erlangten?

Studio Global AI2026年5月5日32 個來源

附引用的答案

Angriffsweg: Ein Angreifer kontaktierte DigiCerts Support über einen Chat-Kanal und lieferte eine ZIP-Datei, die als Screenshot getarnt war, tatsächlich aber eine schädliche .scr-Screensaver-Datei enthielt ^[12].
Direkte Sicherheitsfolge: Über kompromittierte Support-/interne Systeme konnten Angreifer Initialisierungscodes bzw. Zugang zur Ausstellung einer begrenzten Zahl von Code-Signing-Zertifikaten erlangen ^[1].
Missbrauch: Einige der erlangten EV-Code-Signing-Zertifikate wurden zum Signieren von Malware verwendet ^[1]. Das ist sicherheitsrelevant, weil signierte Malware bei Nutzern, Betriebssystemen und Sicherheitsprodukten zunächst vertrauenswürdiger wirken kann.
Umfang: Risky Business berichtet von 27 gestohlenen Code-Signing-Zertifikaten, die später zum Signieren von Malware genutzt wurden ^[8]. Andere Quellen formulieren vorsichtiger als „begrenzte Zahl“, daher ist die genaue Zahl mit etwas Vorsicht zu behandeln ^[1].
Eindämmung: DigiCert widerrief die identifizierten Zertifikate laut Bericht innerhalb von 24 Stunden nach Entdeckung und setzte das Widerrufsdatum auf das Ausstellungsdatum zurück ^[5].
Zusätzliche Maßnahmen: Pending Orders im betroffenen Zeitraum wurden vorsorglich storniert ^[5].
Praktische Folge für Verteidiger: Organisationen sollten Signaturen allein nicht als Vertrauensbeweis behandeln, sondern Hashes, Zertifikatsseriennummern, Aussteller, Zeitstempel, Verhalten und Threat-Intel-Indikatoren gemeinsam prüfen.

來源

[1] 2033170 - DigiCert: Misissued code signing certificates | ThreatNoirthreatnoir.com
DigiCert disclosed that a threat actor compromised a customer support team member and obtained initialization codes for a limited number of code signing certificates, some of which were used to sign malware. The affected certificates were revoked within 24...
[2] DigiCert breached via malicious screensaver filehelpnetsecurity.com
A targeted social engineering attack against DigiCert’s support channel led to the compromise of internal systems and the unauthorized issuance of EV Code Signing certificates. ... According to DigiCert’s incident report, a threat actor contacted the suppor...
[3] DigiCert compromise precedes widespread Microsoft ...threatlocker.com
Attackers recently compromised DigiCert’s support channel and delivered a malicious payload disguised as a screenshot. The malware infected two entry points, both of which had malfunctioning security solutions running at the time. Because DigiCert’s authent...
[5] Microsoft Defender wrongly flags DigiCert certs as Trojan: ...bleepingcomputer.com
"The identified certificates were revoked within 24 hours of discovery and the revocation date set to their date of issuance. As a precautionary measure, pending orders within the window of interest were cancelled. Additional details will be provided in our...
[7] Microsoft Defender wrongly flags DigiCert certs as... - daily.devapp.daily.dev
Microsoft Defender wrongly flags DigiCert certs as Trojan:Win32/Cerdigent.A!dha Microsoft Defender began incorrectly flagging legitimate DigiCert root certificates as Trojan:Win32/Cerdigent.A!dha following a signature update on April 30th. The false positiv...
[8] DigiCert hacked with a malicious screensaver filerisky.biz
A threat actor gained access to DigiCert's backend and stole 27 code signing certificates they later used to sign malware. The incident took place last month and was traced back to a social engineering attack that successfully compromised two employees of D...
[10] DigiCert Revokes Certificates After Support Portal Hacksecurityweek.com
The malware infected two endpoints, one of which was identified on April 3, and another on April 14. DigiCert blames the late discovery of the second infection on the malfunctioning security solutions running on the endpoint. According to the company, the h...
[11] DigiCert suffers breach, stolen certificates used to sign malwarecyberinsider.com
DigiCert suffers breach, stolen certificates used to sign malware ... DigiCert has disclosed a security incident in which attackers compromised internal support systems and abused stolen certificate issuance data to obtain valid EV code signing certificates...
[12] DigiCert: Misissued code signing certificates - Bugzilla@Mozillabugzilla.mozilla.org
- Incident description: On 2026-04-02, a threat actor contacted DigiCert's support team via a customer chat channel and delivered a ZIP file disguised as a customer screenshot. The file contained a .scr executable with a malicious payload. CrowdStrike and o...
[15] How Threat Actors Weaponize EV Certificates by Lucie Cardietvectra.ai
Leaked internal chat logs reveal a coordinated strategy in which Black Basta affiliates use Extended Validation (EV) certificates to sign malicious files . This tactic leverages the enhanced trust typically associated with EV-signed applications. Organizati...