數位簽章無法偽造，或是自建(自建簽章第三方無人信任等於無用)
因為安全軟體很多自帶HIPS的也都會內建一份安全名單
這份名單會去核對應用程式的數位簽章
只要簽章無法通過驗證，管你會不會做壞事
第一步就是不信任你，就算想搞鬼也沒有權限

問題可能是簽章工具洩漏
加料之後重新簽署，再佈署到官網
通常不會有人每天去檢查自己家web的檔案正確性
所以就神不知鬼不覺的下載好幾十天後才發現問題不對

也有可能是原本的正常版本被有心人士下載
在不破壞簽章的情況下加料
然後通過內鬼佈署上官網

因為數位簽章的簽署工具，在一般正常的公司
都不是隨便一個路人甲，要用就可以用的
是經過管制的，特定人士財也使用簽章簽署的權限

如果不是內鬼而是外人所為
目前的確是有方法可以繞過簽章的驗證特性
成功加料不破壞簽章
不過方法需要的技術要求太高
而且有所限制，還需特殊條件皆能成立的情況才有可能辦得到
過去十年，此種案例寥寥可數

然後你成功加料不破壞簽名
還要駭進人家官網
放上加料版本給人下載
這不是說完全不可能
只是種種情況，完美突破
現實生活更難看得到
所以我個人推測內鬼配合可能性比較高