Notepad++ kompromitacija updatea

Sažetak‍

Otkriveno je da je napad na infrastrukturu Notepad++ hosting proveden od strane prijetnje povezane s kineskom skupinom Lotus Blossom, što je rezultiralo hijackom update mehanizma u popularnom uređivaču teksta. Napadači su iskoristili kompromitiranu hosting infrastrukturu kako bi preusmjeravali update zahtjeve određenih korisnika prema svojim serverima, gdje su isporučivali zlonamjerne datoteke umjesto legitimnih ažuriranja. Ranjivost u načinu provjere updatea iskorištena je između sredine 2025. i prosinca 2025. kada je pristup napadača prekinut. Notepad++ je zatim premješten na sigurnijeg providera i sve vjerodajnice su resetirane kako bi se spriječilo daljnje kompromitacije.

Detalji

Nedavni izvještaji pokazali su da je hosting provider koji je supportao distribuciju Notepad++update infrastrukture bio kompromitiran i da su napadači, najvjerojatnije povezana s Lotus Blossom (poznatom i kao Bronze Elgin, LotusPanda, Raspberry Typhoon i drugim aliasima), uspješno presreli i preusmjeravali update promet određenih korisnika.

Napad je trajao nekoliko mjeseci - od lipnja 2025. do 2. prosinca 2025. - tijekom kojih su zahtjevi za update Notepad++ softvera, posebno za starije verzije koje nisu provjeravale digitalni potpis update paketa, bili preusmjeravani na zlonamjerne servere. To je omogućilo napadačima da poslužuju kompromitirane izvršne datoteke koje su se ponašale kao legitiman updater.

Analize pokazuju da je zlonamjerni kod, koji je mogao biti poslužen korisnicima, sadržavao komponentu poznatu kao Chrysalis backdoor - razvijen da prikuplja sistemske informacije te komunicira s udaljenim serverima radi dodatnih naredbi. Chrysalis je složen backdoor s mogućnostima spawnanja interaktivne ljuske, kreiranja procesa, manipulacije datotekama i komunikacije s udaljenim kontrolnim poslužiteljima.

Notepad++ tim je u međuvremenu identificirao slabost u načinu na koji updater WinGUp provodi provjeru integriteta i autentičnosti paketa nadogradnje. Slabosti u kontroli potpisivanja omogućile su presretanje i mijenjanje update URL-a, što je napadačima dalo put za serviranje kompromitiranog koda.

Kao odgovor, Notepad++ razvio je zakrpu u verziji 8.8.9 koja uvodi strogu provjeru digitalnog potpisa i certifikata prije izvršavanja update paketa. Ako provjera digitalnog potpisa ne uspije, postupak nadogradnje se odmah prekida, čime se smanjuje vektor napada. Osim toga, projekt je premjestio hosting na sigurnijeg providera i resetirao vjerodajnice kako bi spriječio daljnje neautorizirano preusmjeravanje prometa.

Incident je ilustrirao rizik koji dolazi s kompromitacijom infrastrukture dobavljača i mehanizama za distribuciju updatea, čak i za popularne open-source projekte poput Notepad++. Napadači su mogli ciljano isporučiti malware samo određenim korisnicima, izbjegavajući masovno otkrivanje i time ostaviti minimalne tragove kompromitacije.

Preporuke

· Ažurirati odmah: Preuzeti i instalirati Notepad++ verziju 8.8.9 ili noviju s službene webstranice ili GitHub repozitorija radi sigurnosnih poboljšanja.

· Monitoring i revizija: Nadzirati mrežni promet i pokretanje procesa kao gup.exe i update.exe.

· Verifikacija potpisivanja: Uvesti interne politike da update paketi moraju biti ručno provjereni ako automatizirani mehanizmi nisu dovoljno jaki.

· Segmentacija i restrikcije: Limitirati aplikacije poput Notepad++ u poslovnim okruženjima prema najnižim potrebnim privilegijama

Reference

· https://www.theverge.com/tech/872462/notepad-plus-plus-server-hijacking

· https://www.bleepingcomputer.com/news/security/notepad-plus-plus-fixes-flaw-hat-let-attackers-push-malicious-update-files/

· https://notepad-plus-plus.org/news/hijacked-incident-info-update/

‍