科技保护的发展也激起黑客的好奇心，导致软件被恶意入侵

首先在野外发现的UEFI恶意软件是被俄罗斯人劫持的笔记本电脑安全软件，oJax”重新使用了LoJack防盗代理作为rootkit，它可以在OS重新安装时继续使用。

UEFI哦，对于UEFI作为rootkit和其他恶意软件的潜在藏身之处，存在许多安全问题，包括固件开发人员PhoenixTechnologies的DickWilkins和JimMortensen去年在UEFIPlugfest大会上的演讲中提出的问题。他们解释说:“固件是软件，因此很容易受到通常针对软件的威胁。

“与LoJax代理一起，”ESET研究人员指出，“发现了能够读取系统UEFI固件的工具，在一个案例中，这个工具能够转储、修补和覆盖系统SPI闪存的一部分。”这个工具的最终目标是在一个SPI闪存保护脆弱或配置错误的系统上安装一个恶意的UEFI模块。由于UEFI实现的变化，这种类型的内存保护问题——威尔金斯和莫滕森警告过的那种问题——已经太常见了。

好黑客借，国家黑客偷。虽然LoJax展示了国家资助的攻击的所有特征，但在UEFIpayload方面，这只花哨的熊队还是有一点先机——它借用了一种商业软件产品，目的是为了在计算机固件中保持活跃。LoJax的rootkit本质上是绝对软件公司2008年版的LoJack防盗代理的一个修改版本，在该版本中称为Computrace。

5月1日，ArborNetworks报道了LoJack小型代理版本的“木马化”样本的发现，这些样本经过修改，可以与可疑的与花式熊活动有关的服务器进行通信。该恶意软件使用地域与2017年另一个后门SedUploader使用的域相同。合法的LoJack客户端和恶意客户端之间的差异非常小——根据ESET研究人员的说法，只有几十个字节——以至于它们基本上没有被检测为恶意软件。