Разработчики Notepad++, открытого редактора кода для платформы Windows, опубликовали разбор инцидента, в результате которого была скомпрометирована сетевая инфраструктура провайдера и некоторые пользователи Notepad++ получили подменённые исполняемые файлы, загружаемые с использованием системы автоматической доставки обновлений WinGUp.
此次攻擊是透過選擇性地重定向用戶與更新下載伺服器之間的流量來實現的。由於所下載更新的驗證和完整性檢查機制存在漏洞,因此可以進行替換。能夠幹擾傳輸流量的攻擊者可以偽造更新清單,並發起下載其偽造更新及其相關元資料的請求,以進行完整性檢查。
進一步分析表明,此次攻擊是在基礎設施層面進行的。 主機提供者這使得攻擊者能夠攔截並重定向發送到 notepad-plus-plus.org 網域的流量。重定向具有選擇性,僅針對特定用戶,這些用戶會收到包含更新資訊的偽造清單。攻擊者活動的最早痕跡可以追溯到 2025 年 6 月,最後一次痕跡可以追溯到 11 月 10 日,但攻擊一直持續到 12 月 2 日。
根據服務提供者提供的信息,此次攻擊是透過入侵託管 notepad-plus-plus.org 網站的共享主機伺服器實現的。 9 月 2 日,在一次軟體更新後,漏洞被修復。但在此之前,攻擊者取得了連接到內部服務的憑證,從而可以將對「https://notepad-plus-plus.org/getDownloadUrl.php」腳本的請求重定向到他們自己的伺服器,直至 12 月 2 日。 服務12月2日,系統偵測到更新欺騙攻擊,服務提供者立即阻止了攻擊者的存取。事件發生後,Notepad++網站被遷移到一家安全性更高等級的託管服務提供者。
為了防止更新欺騙,Notepad++ 8.8.9 和 WinGUP 新增了下載檔案數位簽章和憑證的強制檢查,如果檢查失敗,更新應用程式將會被封鎖。預計下個月發布的 8.9.2 版本還將增加對更新伺服器傳回的 XML 清單 (XMLDSig) 的數位簽章驗證。
來源: opennet.ru
