Pembangun Notepad++, editor kod sumber terbuka untuk platform tersebut Windows, menerbitkan analisis insiden tersebut, yang mengakibatkan infrastruktur rangkaian penyedia terjejas dan beberapa pengguna Notepad++ menerima fail boleh laku gantian yang dimuat turun menggunakan sistem penghantaran kemas kini automatik WinGUp.
Serangan itu dilakukan melalui pengalihan trafik terpilih antara pengguna dan pelayan muat turun kemas kini. Penggantian itu mungkin disebabkan oleh kelemahan dalam mekanisme pengesahan dan semakan integriti untuk kemas kini yang sedang dimuat turun. Penyerang yang mampu mengganggu trafik transit boleh memalsukan manifes kemas kini dan memulakan permintaan untuk memuat turun kemas kini palsu mereka sendiri dan metadata yang berkaitan untuk semakan integriti.
Analisis lanjut mendedahkan bahawa serangan itu telah dijalankan di peringkat infrastruktur. penyedia hosting, yang membolehkan penyerang memintas dan mengalihkan trafik yang ditujukan untuk domain notepad-plus-plus.org. Pengalihan tersebut adalah selektif dan hanya disasarkan kepada pengguna tertentu, yang diberikan manifes palsu yang mengandungi maklumat kemas kini. Kesan pertama aktiviti penyerang bermula pada Jun 2025, dan yang terakhir pada 10 November, tetapi serangan itu kekal berdaya maju sehingga 2 Disember.
Menurut maklumat yang diberikan oleh penyedia, serangan itu dimungkinkan dengan menggodam pelayan hosting kongsi yang mengehoskan laman web notepad-plus-plus.org. Pada 2 September, selepas kemas kini perisian, kelemahan itu ditutup, tetapi sebelum itu, penyerang memperoleh kelayakan untuk menyambung ke salah satu perkhidmatan dalaman, yang membolehkan mereka mengalihkan permintaan ke skrip "https://notepad-plus-plus.org/getDownloadUrl.php" ke pelayan mereka sendiri sehingga 2 Disember. pelayanPada 2 Disember, penipuan kemas kini telah dikesan dan penyedia telah menyekat akses penyerang. Susulan kejadian itu, laman web Notepad++ telah dipindahkan ke penyedia hosting lain dengan fokus keselamatan yang lebih ketat.
Dalam Notepad++ 8.8.9, untuk menyekat spoofing kemas kini, semakan mandatori untuk tandatangan digital dan sijil untuk fail yang dimuat turun telah ditambahkan pada Notepad++ dan WinGUP, dan aplikasi kemas kini kini disekat jika semakan gagal. Keluaran 8.9.2, dijangka bulan depan, juga akan menambah pengesahan tandatangan digital untuk manifes XML (XMLDSig) yang dikembalikan oleh pelayan penghantaran kemas kini.
Sumber: opennet.ru
