利用竊取過來的NVIDIA 代碼，威脅者利用簽名證書來簽署惡意軟件，使其看起來值得信賴，並允許在Windows 中加載惡意驅動程序。本週，NVIDIA 公司證實，他們遭受了一次網絡攻擊，使威脅者得以竊取員工的證書和專有數據。

對本次洩露事件負責的勒索集團Lapsus$ 表示，他們已經竊取了1TB 的數據，並在NVIDIA 拒絕與他們談判後開始在網上洩露這些數據。洩漏的數據包括2 份被盜的代碼簽名證書，這些證書是NVIDIA 開發人員用來簽署其驅動程序和可執行文件的。

代碼簽名證書允許開發人員對可執行文件和驅動程序進行數字簽名，以便Windows和終端用戶能夠驗證文件的所有者，以及它們是否被第三方篡改過。為了提高Windows 的安全性，微軟還要求內核模式的驅動程序在操作系統加載之前必須進行代碼簽名。

在Lapsus$ 洩露了英偉達的代碼簽名證書後，安全研究人員很快發現，這些證書被用來簽署惡意軟件和威脅者使用的其他工具。根據上傳到VirusTotal 惡意軟件掃描服務的樣本，被盜的證書被用來簽署各種惡意軟件和黑客工具，如Cobalt Strike 信標、Mimikatz、後門和遠程訪問木馬。

例如，一個威脅者用該證書籤署了一個Quasar 遠程訪問特洛伊木馬[VirusTotal]，而另一個人用該證書籤署了一個Windows 驅動程序[VirusTotal]。雖然這2 個被盜的英偉達證書都已過期，但Windows仍然允許在操作系統中加載用這些證書籤名的驅動程序。