网络安全公司ESET披露了WinRAR存在的高危漏洞CVE-2025-8088，黑客组织RomCom已开始利用该漏洞攻击用户，向受害者电脑植入包括Mythic Agent、SnipBot和MeltingClaw在内的多种恶意软件。攻击者通过构造特定的RAR压缩包，利用WinRAR的路径遍历缺陷，将恶意文件隐藏在备用数据流（ADS）中。当用户解压文件后，这些恶意文件会被提取到临时目录或Windows启动目录，从而实现系统启动时自动运行恶意程序。该漏洞已引起俄罗斯本土安全公司Bi.Zone的关注，另一攻击团伙“Paper Werewolf”也在利用此漏洞。WinRAR已于2025年7月30日发布7.13版本补丁进行修复，但由于缺乏自动更新功能，补丁覆盖率受到限制，用户需尽快手动升级以规避风险。

⭐ WinRAR软件存在CVE-2025-8088高危漏洞，该漏洞允许攻击者利用路径遍历缺陷，将恶意文件（如DLL、EXE、LNK）通过备用数据流（ADS）隐藏在压缩包内。用户在解压文件后，这些恶意文件会被提取到%TEMP%、%LOCALAPPDATA%等临时目录或Windows启动目录，实现开机自启，从而植入恶意软件。

🚀 黑客组织RomCom（又称Storm-0978、Tropical Scorpius）已被证实正在积极利用此漏洞发起攻击，其攻击链通常涉及Windows快捷方式（LNK文件）引导加载DLL，解密并执行Shellcode，最终建立与攻击者的远程控制（C2）通信，以下载和执行后续的恶意模块。ESET报告了其针对RomCom旗下三大恶意软件：Mythic Agent、SnipBot及MeltingClaw的攻击活动。

⚠️ 除RomCom外，俄罗斯本土安全公司Bi.Zone也监测到另一攻击团伙“Paper Werewolf”利用该漏洞进行类似攻击，显示CVE-2025-8088的利用趋势已呈多发状态，安全风险不容忽视。

🛡️ WinRAR已于2025年7月30日发布了7.13版本补丁以修复CVE-2025-8088漏洞。然而，由于WinRAR缺乏自动更新功能，用户需要手动下载并安装新版本，这可能导致补丁的覆盖率受到限制。ESET在2025年7月18日识别出该漏洞并第一时间通报了WinRAR开发方，而RarLab公司表示除ESET的技术通报外，并未收到用户实际遭遇攻击的反馈。

🔍 攻击者为干扰用户视线，部分ADS条目会故意指向无效路径，以掩盖实际威胁，这增加了检测和防御的难度。用户应格外警惕来源不明的RAR压缩文件，并在解压前确保WinRAR已更新至最新版本。

IT之家 8 月 12 日消息，网络安全公司 ESET 昨日（8 月 11 日）发布博文，详细披露了追踪编号为 CVE-2025-8088 的 WinRAR 漏洞，且有证据表明有黑客组织 RomCom（又称 Storm-0978、Tropical Scorpius）正利用该漏洞攻击用户，向受害者电脑植入多种恶意软件。

IT之家此前报道，WinRAR 已于 2025 年 7 月 30 日发布补丁，并敦促 WinRAR 用户尽快升级到 7.13 及更高版本，以规避安全风险。

ESET 于 2025 年 7 月 18 日 8 日在分析可疑攻击样本后，识别出该漏洞并第一时间通报 WinRAR 开发方。

据 ESET 报告，攻击者通过构造特定 RAR 压缩包，利用 WinRAR 路径遍历缺陷，将恶意 DLL、EXE 及 LNK 文件隐藏于“备用数据流”（ADS）中。

在用户解压文件之后，这些恶意文件被提取到 % TEMP%、% LOCALAPPDATA% 等临时目录，以及 Windows 启动目录，从而实现在系统启动时自动运行恶意程序，部分 ADS 条目则故意指向无效路径，用于干扰用户视线，掩盖实际威胁。

ESET 进一步揭示了三条典型攻击链，分别对应 RomCom 旗下的三大恶意软件：Mythic Agent、SnipBot 及 MeltingClaw。攻击流程通常借助 Windows 快捷方式（LNK 文件）引导加载 DLL、解密并执行 Shellcode，最终建立与攻击者的远程控制（C2）通信，下载后续恶意模块。

值得注意的是，俄罗斯本土安全公司 Bi.Zone 也监测到另一攻击团伙“Paper Werewolf”利用该漏洞实施类似攻击，显示 CVE-2025-8088 的利用已呈多发趋势。

2025 年 7 月 30 日，WinRAR 发布 7.13 版补丁修复 CVE-2025-8088 漏洞。然而，因其缺乏自动更新功能，用户需自行手动下载安装新版，导致补丁覆盖率有限。RarLab 公司称，除 ESET 技术通报外，并未收到用户实际遭遇攻击的反馈。