Группа APT взяла на себя управление хостинговой инфраструктурой Notepad++ и распространяла вредоносные обновления с июня 2025 года.
Дон Хо, создатель популярного редактора Notepad++, только что раскрыл шокирующие подробности атаки, продолжавшейся почти полгода. Хакеры завладели механизмом обновления приложения, не взломав сам код, а захватив инфраструктуру хостинг-провайдера. Жертвы отбирались выборочно. Злоумышленники нацелены именно на конкретных пользователей, предоставляя им зараженные установщики под видом официальных обновлений.
Злоумышленники захватили инфраструктуру хостинга на уровне общего сервера и в течение шести месяцев выборочно перенаправляли выбранные обновления Notepad++ на вредоносные серверы.
Глава агентства кибербезопасности США загрузил конфиденциальные документы в общедоступную версию ChatGPT
Хакерская кампания началась в июне 2025 года и продолжалась до декабря, когда все пути доступа злоумышленникам были окончательно отрезаны. Общий сервер, на котором размещен скрипт getDownloadUrl.php, отвечающий за механизм обновления, был напрямую скомпрометирован до 2 сентября 2025 года. Хотя после этого хакеры потеряли прямой доступ к машине, они сохранили скомпрометированные учетные данные для внутренних служб хостинг-провайдера, что позволило им продолжать перенаправлять трафик обновлений. Лишь 2 декабря, после замены всех ключей и передачи инфраструктуры новому поставщику, ворота окончательно закрылись. По мнению независимых аналитиков по безопасности, операция несет в себе признаки деятельности китайской группировки APT. Это объясняет избирательный отбор и инвестиции в долгосрочные захваты инфраструктуры, а не в простые массовые атаки.
Польша реализует директиву NIS2. Новые отрасли, CSIRT и 7 лет на поэтапный отказ от оборудования от поставщиков с высоким уровнем риска
Ключевой проблемой, которая позволила кампании добиться успеха, была плохая проверка целостности обновлений в старых версиях Notepad++. Программа обновления WinGUp недостаточно проверила цифровые подписи, что позволило злоумышленникам внедрить свои собственные вредоносные URL-адреса установщика после захвата среды хостинга. В ответ на инцидент в версии 8.8.9 реализована проверка как сертификата, так и подписи скачанного установщика. Более того, XML, возвращаемый сервером обновлений, теперь имеет криптографическую подпись с использованием XMLDSig, а в версии 8.9.2 принудительное выполнение проверки станет обязательным. Эти изменения перемещают точку доверия из инфраструктуры промежуточного программного обеспечения непосредственно на криптографический уровень, контролируемый разработчиками.
Российская хакерская группа Sandworm атаковала польскую энергосистему с помощью вредоносного ПО DynoWiper.
Атака на Notepad++ — опасное напоминание о подобных инцидентах. Достаточно вспомнить CCleaner или SolarWinds, которые также использовали доверенные каналы распространения. Однако в условиях развития ставки особенно высоки. Редакторы кода и инструменты разработки имеют доступ к конфиденциальным ресурсам дизайна, ключам API и репозиториям. Проникновение такого инструмента позволяет злоумышленникам получить долгосрочный и конфиденциальный доступ к наиболее ценным активам компании. В условиях растущей активности APT-групп, нацеленных на цепочку поставок, китайские APT-группы активизируют атаки на критически важную инфраструктуру и инструменты разработки. Инцидент с Notepad++ — предупреждение для всей отрасли. Пользователи, которые использовали Notepad++ в период с июня по декабрь 2025 года, должны проверить безопасность своих систем и убедиться, что они не стали жертвами проблемных обновлений.
Источник: Официальный представитель Notepad++, The Hacker News.
