RVTools官方网站上的安装程序被发现传播恶意软件。研究表明，它传播了Bumblebee加载程序。敦促用户验证下载内容。

广泛使用的VMware系统管理工具RVTools最近被发现向用户传播有害软件。安全研究员Aidan Leon在ZeroDayLabs的一篇博客文章中发出了警告，称其官方网站上的RVTools安装程序已被入侵。

该问题于2025年5月15日星期四曝光，当时Leon的安全团队检测到一个可疑文件version.dll，该文件试图从RVTools安装程序运行。这是在一名员工尝试安装该实用程序时发生的。

据报道，受感染版本于2025年5月12日星期一首次上传，表明该网站在当天上午8点至11点之间遭到入侵。官方网站随后下线，随后重新出现，并提供了干净的下载版本。然而，到2025年5月16日星期五，该网站再次下线，且没有任何解释。

Microsoft Defender for Endpoint迅速标记了该活动。进一步调查证实，该恶意安装程序源自RVTools官方网站Robware.net。此外，Leon发现受感染的RVTools安装程序明显比其合法版本更大。此外，它包含的文件哈希值与官方网站上列出的干净版本不匹配。

检查恶意内容的服务VirusTotal对该文件的分析证实了其严重性：71个防病毒引擎中有33个将其识别为Bumblebee恶意软件加载程序的变种- 该恶意软件因其在网络犯罪分子获取初始访问权限方面所起的作用而闻名，通常为勒索软件或高级攻击框架铺平道路。

该恶意文件甚至在其元数据中故意添加了一些不寻常且令人困惑的细节，例如原始文件名为“Hydrarthrus”，而产品描述则使用了“elephanta ungroupable clyfaker gutturalness”等奇怪的描述。正如ZeroDay Labs报告所指出的，这些隐晦的术语被用来转移人们对该文件真正有害目的的注意力。

恶意文件提交至VirusTotal后一小时内，公开检测数量激增。与此同时，RVTools网站也暂时下线。网站恢复后，下载的文件已发生变化，文件大小减小，并与官方安全的文件哈希值匹配。这一快速变化强烈表明，该软件的分发渠道遭到了短暂但有针对性的攻击。

安全隐患远不止于官方网站。RVTools官方网站上也发布警告，建议不要从其他来源下载该软件。这条建议至关重要，因为目前在网上搜索“RVTools 下载”，搜索rvtoolsorg结果顶部会显示一个类似的网站。这个自称是官方网站的虚假网站还提供了一个恶意的RVTools安装程序。

此次事件表明，下载软件时务必谨慎，即使是从合法来源下载。安装RVTools的组织应通过检查文件哈希值和检测异常活动（尤其是version.dll从用户目录执行）来验证安装程序的完整性。