Utviklerne av Notepad++, en åpen kildekodeeditor for plattformen Windows, publiserte en analyse av hendelsen, som førte til at leverandørens nettverksinfrastruktur ble kompromittert, og noen Notepad++-brukere mottok erstatningskjørbare filer lastet ned ved hjelp av WinGUp-systemet for automatisk oppdateringslevering.
Angrepet ble utført gjennom selektiv omdirigering av trafikk mellom brukeren og oppdateringsnedlastingsserveren. Substitusjonen var mulig på grunn av en sårbarhet i verifiserings- og integritetskontrollmekanismen for oppdateringen som lastes ned. En angriper som er i stand til å forstyrre transitttrafikken, kan forfalske oppdateringsmanifestet og starte en forespørsel om å laste ned sin egen falske oppdatering og tilhørende metadata for integritetskontroll.
Videre analyse avdekket at angrepet ble utført på infrastrukturnivå. hostingleverandør, som tillot angriperne å avskjære og omdirigere trafikk som var ment for notepad-plus-plus.org-domenet. Omdirigeringen var selektiv og målrettet kun mot bestemte brukere, som fikk et forfalsket manifest som inneholdt oppdateringsinformasjon. De første sporene av angriperaktivitet dateres tilbake til juni 2025, og de siste til 10. november, men angrepet forble levedyktig frem til 2. desember.
Ifølge informasjon fra leverandøren ble angrepet muliggjort ved å hacke den delte hostingserveren som var vert for nettstedet notepad-plus-plus.org. 2. september, etter en programvareoppdatering, ble smutthullet lukket, men før det fikk angriperne tilgang til legitimasjon for å koble til en av de interne tjenestene, som tillot dem å omdirigere forespørsler til skriptet «https://notepad-plus-plus.org/getDownloadUrl.php» til sine egne servere frem til 2. desember. servere2. desember ble oppdateringsforfalskningen oppdaget, og leverandøren blokkerte angripernes tilgang. Etter hendelsen ble Notepad++-nettstedet overført til en annen hostingleverandør med et strengere sikkerhetsfokus.
I Notepad++ 8.8.9 ble obligatoriske kontroller for både digitale signaturer og sertifikater for nedlastede filer lagt til i Notepad++ og WinGUP for å blokkere forfalskning av oppdateringer, og oppdateringsprogrammet er nå blokkert hvis sjekken mislykkes. Versjon 8.9.2, som forventes neste måned, vil også legge til verifisering av digital signatur for XML-manifestet (XMLDSig) som returneres av oppdateringsleveringsserveren.
Kilde: opennet.ru
