Poważne naruszenie łańcucha dostaw Notepad++, aktualizacje były złośliwe

[Kocurek]

Oficjalny komunikat:

[Zawartość widoczna tylko dla zalogowanych użytkowników]

 

Jak czytamy w oficjalnym komunikacie N++. Serwer aktualizacji Notepad++ został przejęty na poziomie infrastruktury hostingodawcy,

co umożliwiło atakującym przechwytywanie i przekierowywanie ruchu aktualizacji do serwera kontrolowanego przez nich, bez konieczności włamywania się do repozytorium kodu Notepad++.

Atakujący podszywali się pod oficjalny mechanizm aktualizacji i dla wybranych, „interesujących” ofiar zwracali złośliwe manifesty aktualizacji prowadzące do zainfekowanych instalatorów.

 

Chronologia incydentu pokazuje bardzo długi okres ryzyka po stronie użytkowników. Twórca Notepad++ wskazuje, że kampania rozpoczęła się w czerwcu 2025,

a całkowite odcięcie możliwości atakujących nastąpiło dopiero 2 grudnia 2025.

Z perspektywy dostawcy hostingu serwer współdzielony, na którym działał skrypt aktualizacji (czyli getDownloadUrl.php),

był bezpośrednio zhackowany do 2 września 2025, a po tym terminie atakujący utrzymywali dostęp dzięki przejętym poświadczeniom do usług wewnętrznych aż do początku grudnia.

Analiza eksperta bezpieczeństwa sugeruje, że operacja faktycznie wygasła około 10 listopada 2025, ale przyjęto, że okres naruszenia trwał od czerwca do 2 grudnia 2025.

 

Według oświadczenia dostawcy hostingu, atak miał charakter ukierunkowany:

w logach nie znaleziono dowodów na ataki wobec wszystkich możliwych klientów, a napastnicy celowo szukali domeny notepad-plus-plus.org,

aby przejąć ruch do mechanizmu aktualizacji. Kluczowym elementem umożliwiającym skuteczne nadużycie były nieprawidłowe mechanizmy weryfikacji integralności aktualizacji

w starszych wersjach Notepad++, co pozwalało na wstrzyknięcie własnych, złośliwych URL-i aktualizacji po stronie przejętego środowiska hostingowego.

To połączenie błędów po stronie dostawcy hostingu (podatności i błędy konfiguracyjne) oraz niewystarczającej walidacji aktualizacji

po stronie samej aplikacji dało atakującym komfortową, wielomiesięczną możliwość działania.

 

Twórca Notepad++ podkreśla, że według kilku niezależnych analiz, incydent wygląda na operację grupy APT, z wysokim prawdopodobieństwem wskazującym na chiński rodowód.

Wyjaśniałoby to zarówno selektywne celowanie w określonych użytkowników, jak i inwestycję w atak na poziomie infrastruktury hostingowej zamiast prostszych kampanii masowego malware (bo przecież mogli).

Taki model ataku – zaufany kanał aktualizacji, jak i niewielki, precyzyjny zasięg, a także ukierunkowanie na popularne narzędzie programistyczne – dobrze wpisuje się w profil działań grup APT,

dla których Notepad++ może być wektorem dojścia do środowisk developerskich i administracyjnych.

 

Po wykryciu incydentu zaangażowano zewnętrznych ekspertów ds. bezpieczeństwa oraz zespół IR (ang. Incident Response), który współpracował bezpośrednio z dotychczasowym dostawcą hostingu.

Dostawca, po zidentyfikowaniu podejrzanych zdarzeń w logach, przeniósł wszystkie konta ze zhackowanego serwera na nową maszynę, załatał wykorzystywane podatności, zresetował (rollover)

wszystkie poświadczenia do wewnętrznych usług oraz sprawdził pozostałe serwery pod kątem podobnych IoC (ang. Identificators of Compromise). Równolegle właściciel Notepad++ podjął decyzję o

zmianie firmy hostingowej na taką, która deklaruje wyższe standardy bezpieczeństwa

 

Po stronie samego Notepad++ istotnie wzmocniono mechanizm aktualizacji. W wersji 8.8.9 WinGup (updater) został zmieniony tak, aby weryfikował zarówno certyfikat, jak i podpis cyfrowy pobieranego instalatora.

Dodatkowo XML zwracany z serwera aktualizacji jest teraz podpisywany z użyciem XMLDSig, a egzekwowanie walidacji certyfikatu i podpisu ma być obowiązkowe od wersji 8.9.2, zaplanowanej około miesiąc

po opublikowaniu komunikatu o incydencie. Celem jest ograniczenie zaufania do infrastruktury pośredniej (w tym hostingu) i przeniesienie krytycznej weryfikacji na warstwę kryptograficzną,

kontrolowaną bezpośrednio przez twórców edytora

 

Z punktu widzenia użytkowników, którzy mogli korzystać ze starszych wersji Notepad++ w okresie czerwiec–grudzień 2025, realne było ryzyko pobrania złośliwej aktualizacji.

Oznacza to potencjalne zainfekowanie stacji roboczej przez kanał, który większość administratorów i developerów traktuje jako zaufany z definicji – oficjalny mechanizm autoaktualizacji popularnego narzędzia

Warto upewnić się, czy w Waszej firmie, taka aktualizacja nie zaistniała. Twórca Notepad++ przeprasza za powstałą sytuację i podkreśla, że w jego ocenie wszystkie ścieżki nadużyć zostały już zamknięte, zarówno

po stronie aplikacji, jak i infrastruktury, choć szczegóły pierwotnego wektora wejścia u hostingodawcy nadal są przedmiotem analiz.

 

Źródło: [Zawartość widoczna tylko dla zalogowanych użytkowników]