今天的《数据安全早知道》里有一条让人细思极恐的新闻：一个恶意浏览器插件，在微软Edge官方商店里已经躺了许久，被21万用户安装，却迟迟没有被下架。这到底是怎么回事？

原来，攻击者使用了一种经典的“替换安装包”手段。他们把一个正常的软件安装包（比如一个办公助手）和一个小巧的恶意程序（Dropper）打包在一起，伪装成一个自解压文件。当你满心欢喜下载安装时，恶意程序就悄悄溜进了你的电脑。

更狡猾的是，这个恶意DLL文件还伪造了数字签名，看起来和正版软件一模一样。如果不是细心对比，连专业安全人员都可能被蒙骗。这已经不是简单的病毒传播，而是一种高明的供应链攻击——攻击者不直接攻击你，而是污染了你信任的软件源头。

数字签名就像是软件的电子身份证。它由软件开发商向权威机构申请，用来证明“这个软件是我发布的，没有被篡改过”。正常情况下，如果你下载的软件签名是有效的，操作系统就会认为它是可信的。

但今天的案例告诉我们，数字签名也可能被伪造。攻击者通过窃取或伪造签名，让恶意软件披上了“合法”的外衣。这就好比有人捡到了你的身份证，然后去干坏事，别人看到身份证就以为是你本人干的。

所以，单靠数字签名已经不足以保障安全。我们需要建立多层次信任机制。

今天的新闻里，除了这款恶意插件，还提到了好几个高危漏洞，比如Apache Calcite的远程代码执行漏洞（CVE-2022-36364）、pgAdmin的后台命令执行漏洞（CVE-2023-5002）。这些漏洞都有一个共同点：它们都出现在我们日常使用的基础软件中。

为什么攻击者偏爱这些“老熟人”？原因很简单：信任链越长，攻击面越大。一个浏览器插件，看起来只是个小工具，但它能读取你的浏览记录、窃取你的登录凭证、甚至静默下载其他恶意软件。而一个数据库管理工具（如pgAdmin）的漏洞，可能让攻击者直接控制企业服务器。

今天的新闻还提到，超过八成APP存在隐私违规，数据被违规传输到境外。这告诉我们：攻击者不仅盯着你的电脑，更盯着你手机里那些你信任的App。

面对这种新型攻击，普通用户和企业该怎么办？这里给大家一个简单的“三步自检法”：

• 第一步：审视来源。只从官方渠道下载软件，比如应用商店官网、官方GitHub仓库。避免使用第三方下载站或网盘链接。
• 第二步：检查行为。安装新软件后，留意它是否多出了你不认识的服务或启动项。比如，安装一个办公软件，突然多了一个浏览器插件，这就是危险信号。
• 第三步：关注更新。定期检查软件是否有安全更新。像今天提到的CVE漏洞，如果及时打补丁，就能避免被利用。

对于企业，今天的新闻里提到的“当分公司突遭漏洞通报”案例非常典型：安全部门需要建立从发现到修复的闭环流程，不能因为“信任”某个软件就放松警惕。