背景图片来源于 Tim Hüfner on Unsplash

安全公司卡巴斯基（Kaspersky）于5月5日表示，他们在今年5月初发现免费版虚拟光驱软件DAEMON Tools Lite被植入恶意程序，可用于下载后续恶意载荷，受影响版本涵盖4月8日发布的12.5.0.2421至最新版12.5.0.2434。

DAEMON Tools是由AVB Disc Soft开发的老牌虚拟光驱和光盘镜像工具，主要用于在Windows系统上挂载ISO等光盘镜像文件，使用户无需物理光驱即可读取CD、DVD或蓝光内容。该软件早期常用于游戏和软件安装光盘的备份与镜像管理，产品线包括免费版DAEMON Tools Lite，以及Pro、Ultra等付费版本。

卡巴斯基是在其产品回传的检测数据中发现异常，发现多台电脑在运行DAEMON Tools Lite后，会连接一个仿冒DAEMON Tools官方下载域名的恶意服务器，并尝试下载后续文件。经进一步调查，卡巴斯基确认相关安装程序虽来自DAEMON Tools官网且具备AVB Disc Soft的数字签名，但内部组件已被攻击者篡改，因此判定为供应链攻击。

分析显示，自4月8日首个被植入木马的DAEMON Tools Lite版本上线以来，已观察到数千次相关攻击尝试，受影响设备分布于100多个国家和地区，主要集中在俄罗斯、巴西、土耳其、西班牙、德国、法国、意大利和中国。其中，约10%的受影响系统属于企业或组织。

但攻击者并未对所有受影响设备采取相同行动。多数设备仅被用于收集系统信息，仅有十余台设备被进一步部署后门载荷；这些设备隶属于位于俄罗斯、白俄罗斯和泰国的政府、科研、制造与零售机构，表明攻击者可能是先大规模传播恶意版本，再筛选少数高价值目标。

今年以来，安全社区已发现多起供应链攻击事件，包括1月的杀毒软件eScan、2月的Notepad++、4月的CPU-Z，以及5月的DAEMON Tools。

卡巴斯基表示，已联系AVB Disc Soft，以便该公司采取修复措施。但截至目前，AVB Disc Soft尚未在其官网或博客发布相关说明。