Chiny zaatakowały Notepad++: Złośliwe aktualizacje przez miesiące infekowały użytkowników

Szacuje się, że zaawansowana grupa APT, powiązana z Chinami, przejęła kontrolę nad serwerami dystrybuującymi aktualizacje dla niezwykle popularnej aplikacji Notepad++, podrzucając użytkownikom szkodliwe oprogramowanie. Proceder ten trwał przez kilka miesięcy, a ofiary nie były w stanie samodzielnie wykryć naruszenia bezpieczeństwa. Istnieje realne ryzyko, że tysiące komputerów firmowych mogło zostać zainfekowanych.

Notepad++ to ceniony edytor tekstu, szczególnie wśród programistów, dzięki funkcji podświetlania składni dla wielu języków programowania. Jego wysoka popularność sprawiła, że stał się celem wyrafinowanego ataku ze strony grupy APT z Chin. Jak poinformowano na oficjalnej stronie projektu, atakujący naruszyli infrastrukturę hostingową, co umożliwiło im przechwycenie i przekierowanie systemu aktualizacji dla domeny notepad-plus-plus.org.

Naruszenie bezpieczeństwa Notepad++: Szczegóły ataku

Grupa APT zmodyfikowała proces dystrybucji aktualizacji, aby selektywnie kierować część użytkowników na serwery zawierające złośliwe oprogramowanie. Starsze wersje Notepad++ nie posiadały wystarczających mechanizmów weryfikacji, co utrudniało wykrycie drobnych, lecz szkodliwych zmian wprowadzonych przez cyberprzestępców. Problem pogłębiła luka bezpieczeństwa u dostawcy hostingu, którą wykorzystali atakujący.

Analiza logów wskazuje, że atak rozpoczął się w czerwcu 2025 roku i zakończył 10 listopada 2025 roku. Dostawca hostingu poinformował, że atakujący mieli dostęp do serwerów aż do 2 grudnia tego samego roku, kiedy to definitywnie zablokowano im dostęp. W wyniku incydentu umowa z dotychczasowym dostawcą hostingu została rozwiązana, a projekt przeniósł się do innego usługodawcy. Co kluczowe, od wersji 8.8.9 Notepad++ wyposażono w usprawniony mechanizm aktualizacji WinGup, który teraz dokładnie weryfikuje zarówno certyfikat, jak i podpis pobieranego instalatora. Ponadto, pliki XML zwracane przez serwer aktualizacji są teraz również podpisane cyfrowo.

Konieczność pilnej aktualizacji aplikacji

Twórcy Notepad++ stanowczo zalecają pobranie i zainstalowanie najnowszej wersji 8.9.1, która eliminuje wszystkie zidentyfikowane luki. Użytkownicy starszych wersji aplikacji powinni niezwłocznie przeprowadzić aktualizację, aby zminimalizować ryzyko infekcji ich systemów. Szczególną uwagę zwraca fakt, że atak był ukierunkowany, co sugeruje, że jego celem byli głównie pracownicy sektora IT.

Wyniki Biznes Fakty:

Najnowsza aktualizacja aplikacji Notepad++ ma kluczowe znaczenie dla bezpieczeństwa cyfrowego firm. Zagrożenie polegające na dystrybucji złośliwego oprogramowania poprzez zaufane kanały aktualizacji mogło prowadzić do poważnych incydentów, w tym kradzieży danych, paraliżu systemów IT czy strat finansowych. Wdrożenie aktualizacji zabezpiecza infrastrukturę firmową przed podobnymi atakami, chroniąc poufne informacje i zapewniając ciągłość działania. Jest to istotny krok w kierunku wzmocnienia odporności cyfrowej przedsiębiorstw w obliczu coraz bardziej zaawansowanych zagrożeń ze strony grup APT.

Oryginał artykułu : businessinsider.com.pl