По словам автора проекта, в 2025 году спонсируемый государством киберпреступник скомпрометировал службу обновлений Notepad++.
Это признание прозвучало после того, как 9 декабря была выпущена версия 8.8.9 текстового редактора. В «усиленной» версии во время процесса обновления проверялась подпись и сертификат загруженных установщиков. 27 декабря была выпущена версия 8.9, в которой отказались от использования самоподписанного сертификата. Проект сообщил: «Теперь для подписи бинарных файлов релизов Notepad++ используется только легитимный сертификат, выданный GlobalSign. Мы настоятельно рекомендуем пользователям, ранее установившим самоподписанный корневой сертификат, удалить его».
Сегодня в публикации под названием «Notepad++ захвачен хакерами, спонсируемыми государством» Notepad++ подтвердил, что приложение стало жертвой злоумышленников.
Точные детали механизма, использованного при эксплуатации уязвимости, остаются под следствием, но проблема связана с скомпрометированным сервером хостинга и недостаточными средствами проверки обновлений в старых версиях редактора. Согласно Notepad++:
«Трафик от определенных целевых пользователей избирательно перенаправлялся на серверы, контролируемые злоумышленниками, с вредоносными манифестами обновлений».
Инцидент начался в июне, по данным Notepad++. Сервис общего хостинга был скомпрометирован до 2 сентября, и даже после потери доступа злоумышленники сохраняли учетные данные для внутренних служб до 2 декабря. Хотя расследования показывают, что атака закончилась 10 ноября, автор Notepad++ написал: «Я оцениваю общий период компрометации с июня по 2 декабря 2025 года, когда доступ злоумышленников был окончательно прекращен».
Исследователь безопасности Кевин Бомонт 2 декабря отметил, что что-то не так. «Я получил сообщения от трех организаций, у которых были инциденты безопасности на компьютерах с установленным Notepad++, где, по-видимому, первоначальный доступ был получен через процессы Notepad++. Это привело к тому, что злоумышленники получили ручной доступ к системам».
Бомонт заявил, что механизм обновления имел потенциал для подмены, с возможностью перенаправления загрузки. Он также отметил, однако, что «активность выглядит очень избирательной», а ограниченное число жертв, с которыми он говорил, были заинтересованы в Восточной Азии.
Автор Notepad++ написал, что несколько независимых исследователей безопасности считают, что за угрозой, вероятно, стояла китайская государственная группа, «что объясняет очень избирательный таргетинг, наблюдавшийся во время кампании».
Китайские кибершпионы имеют долгую историю взломов компьютеров и сетей. В декабре CISA предупредила, что лица из этой страны проникли в критически важные сети США, сохранив в некоторых случаях доступ на годы.
The Register связался с автором Notepad++ для получения дополнительной информации и обновит эту статью, если получит ее. А пока prudent будет проверить и удалить ранее установленный корневой сертификат Notepad++, а также вручную загрузить и установить последний релиз.
Бомонт похвалил Notepad++, заявив в Mastodon: «Разработчик Notepad++ проделал отличную работу, серьезно отнесясь к проблеме».
Что касается Notepad++, извинения были исчерпывающими. Веб-сайт проекта с тех пор переехал к новому поставщику хостинга «со значительно более строгими практиками», а процесс обновления был усилен. «Проверка сертификатов и подписей будет применяться начиная с предстоящей версии v8.9.2, ожидаемой примерно через месяц».
«С этими изменениями и усилениями я считаю, что ситуация полностью разрешена. Будем надеяться». ®
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Richard Speed
