Сервер обновлений Notepad++ был взломан в ходе целевой атаки

/ ТехнологииНовости / Технологии

Проект Notepad++ вчера сообщил, что его сервер обновлений был тайно захвачен в рамках целевой атаки на цепочку поставок, начавшейся в июне 2025 года. Это подвергло часть пользователей риску получения вредоносных установщиков через встроенный в редактор механизм обновлений. По данным Notepad++, злоумышленники, которых проект называет «вероятно, группой, спонсируемой китайским государством», получили возможность выборочно перенаправлять запросы на обновление от конкретных пользователей на контролируемые атакующими серверы. Эти жертвы затем получали манипулированный манифест обновления, который указывал на троянизированный установщик вместо легитимного релиза.

В Notepad++ подчеркивают, что атака была «целевой», а пользователи «выборочно перенаправлялись» на эти контролируемые злоумышленниками манифесты. В результате пользователи, которые вручную скачивали установщики с официального сайта, не пострадали, а большинство запросов на обновление продолжали обрабатываться нормально. Похоже, атакующие перехватывали трафик на уровне хостинга, используемого службой обновлений, что позволило им в реальном времени отличать цели от обычных пользователей.

Согласно данным скомпрометированного и бывшего общего хостинг-провайдера Notepad++, общий сервер, на котором размещался скрипт «getDownloadUrl.php», был скомпрометирован до 2 сентября. В этот день запланированные обновления ядра и микропрограмм лишили злоумышленников прямого доступа.

Однако провайдер сообщил, что атакующие сохранили учетные данные для внутренних служб на сервере до 2 декабря, что позволило им продолжать перенаправлять часть трафика обновлений даже после устранения первоначального взлома. Хостинг-провайдер также отметил, что злоумышленники целенаправленно атаковали именно домен Notepad++ и не проявили интереса к другим клиентам на том же сервере.

Подтверждая заявления Notepad++, компания Rapid7 связала эту атаку с давно действующей китайской шпионской группировкой Lotus Blossom. Активная с 2009 года, эта группа связывается с атаками на правительственные структуры, телекоммуникационные компании, СМИ и авиацию в Юго-Восточной Азии и Центральной Америке.

«Наше расследование выявило инцидент безопасности, возникший в результате сложного взлома инфраструктуры, на которой размещен Notepad++, который впоследствии использовался для распространения ранее недокументированного пользовательского бэкдора», — говорится в отчете Rapid7.

Notepad++ с тех пор ввел более строгие проверки, которые проверяют как цифровую подпись, так и сертификат загружаемых установщиков, предотвращая продолжение обновления в случае сбоя верификации. Пользователи, которые скачивали установщики напрямую с официального сайта, не пострадали от скомпрометированного перенаправления. Тем же, кто полагается на встроенное обновление, следует обновиться до последней версии, чтобы получить более строгую процедуру проверки для будущих обновлений.

ИИ: Этот инцидент — очередное суровое напоминание о том, что даже популярные проекты с открытым исходным кодом остаются мишенями для сложных атак на цепочку поставок. Пользователям любого ПО, особенно разработчикам, стоит по возможности проверять контрольные суммы и подписи скачиваемых файлов, а не полагаться исключительно на автоматические обновления.

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

0 комментариев

Оставить комментарий

Все комментарии - Технологии