- Новое
- Добавить закладку
- #1
Механизм обновлений для популярного текстового редактора Notepad++ был захвачен хакерами, поддерживаемыми китайским государством, что позволило им незаметно перенаправлять некоторых пользователей на вредоносные серверы обновлений, сообщили разработчики проекта в понедельник.
В обновлении безопасности, опубликованном на сайте проекта, команда разработчиков заявила, что атака не использовала уязвимость в исходном коде редактора. Вместо этого компрометация произошла на уровне инфраструктуры, затронув системы, используемые для доставки обновлений.
Атакующие смогли "перехватить и перенаправить трафик обновлений, направлявшийся на notepad-plus-plus.org", заявила команда, добавив, что "точный технический механизм остается под расследованием".
Notepad++, бесплатный и с открытым исходным кодом редактор, широко используемый специалистами в области технологий, имеет миллионы пользователей по всему миру. Этот инцидент подчеркивает постоянные опасения по поводу безопасности цепочек поставок программного обеспечения, даже для хорошо зарекомендовавших себя проектов с открытым исходным кодом.
В отличие от многих атак на цепочку поставок, которые включают вмешательство в репозитории исходного кода, инцидент с Notepad++ был связан с перенаправлением сетевого трафика после того, как он покинул компьютер пользователя, но до того, как достиг легитимного сервера обновлений.
Такие атаки "на пути" могут быть трудными для обнаружения и могут оставлять ограниченные следы, особенно когда они затрагивают только узкую группу пользователей.
Похожие тактики наблюдались и в предыдущих инцидентах. В 2018 году хакеры скомпрометировали инфраструктуру доставки обновлений для ASUS в рамках кампании, названной исследователями "ShadowHammer". Как отметила компания по кибербезопасности SentinelOne, хотя вредоносные обновления были распространены на потенциально сотни тысяч систем, атакующие, похоже, были заинтересованы только в нескольких сотнях конкретных целей.
Разработчики Notepad++ заявили, что их инцидент следовал похожей схеме, при этом трафик обновлений был "избирательно перенаправлен" для определенных пользователей, а не распространялся массово. Команда подчеркнула, что кампания не была массовой атакой и не затронула всех пользователей, хотя она не раскрыла, сколько систем в конечном итоге было скомпрометировано.
Захват начался в июне 2025 года и продолжался до декабря, согласно словам разработчиков. Они ссылаются на оценки нескольких независимых исследователей в области безопасности, которые пришли к выводу, что активность, вероятно, была связана с китайскими хакерами, поддерживаемими государством, хотя исследователи и их методы не были публично идентифицированы.
Такие атрибуции обычно основаны на повторном использовании инфраструктуры, целевых поведенческих характеристиках и операционных особенностях, а не на прямых доказательствах, и остаются трудными для окончательной проверки.
Разработчики заявили, что с тех пор проект перенес свою инфраструктуру обновлений на нового провайдера хостинга и внедрил дополнительные меры безопасности в версии 8.9.1 для усиления механизма обновлений. Пользователей призвали обновить программное обеспечение в качестве меры предосторожности.
В обновлении безопасности, опубликованном на сайте проекта, команда разработчиков заявила, что атака не использовала уязвимость в исходном коде редактора. Вместо этого компрометация произошла на уровне инфраструктуры, затронув системы, используемые для доставки обновлений.
Атакующие смогли "перехватить и перенаправить трафик обновлений, направлявшийся на notepad-plus-plus.org", заявила команда, добавив, что "точный технический механизм остается под расследованием".
Notepad++, бесплатный и с открытым исходным кодом редактор, широко используемый специалистами в области технологий, имеет миллионы пользователей по всему миру. Этот инцидент подчеркивает постоянные опасения по поводу безопасности цепочек поставок программного обеспечения, даже для хорошо зарекомендовавших себя проектов с открытым исходным кодом.
В отличие от многих атак на цепочку поставок, которые включают вмешательство в репозитории исходного кода, инцидент с Notepad++ был связан с перенаправлением сетевого трафика после того, как он покинул компьютер пользователя, но до того, как достиг легитимного сервера обновлений.
Такие атаки "на пути" могут быть трудными для обнаружения и могут оставлять ограниченные следы, особенно когда они затрагивают только узкую группу пользователей.
Похожие тактики наблюдались и в предыдущих инцидентах. В 2018 году хакеры скомпрометировали инфраструктуру доставки обновлений для ASUS в рамках кампании, названной исследователями "ShadowHammer". Как отметила компания по кибербезопасности SentinelOne, хотя вредоносные обновления были распространены на потенциально сотни тысяч систем, атакующие, похоже, были заинтересованы только в нескольких сотнях конкретных целей.
Разработчики Notepad++ заявили, что их инцидент следовал похожей схеме, при этом трафик обновлений был "избирательно перенаправлен" для определенных пользователей, а не распространялся массово. Команда подчеркнула, что кампания не была массовой атакой и не затронула всех пользователей, хотя она не раскрыла, сколько систем в конечном итоге было скомпрометировано.
Захват начался в июне 2025 года и продолжался до декабря, согласно словам разработчиков. Они ссылаются на оценки нескольких независимых исследователей в области безопасности, которые пришли к выводу, что активность, вероятно, была связана с китайскими хакерами, поддерживаемими государством, хотя исследователи и их методы не были публично идентифицированы.
Такие атрибуции обычно основаны на повторном использовании инфраструктуры, целевых поведенческих характеристиках и операционных особенностях, а не на прямых доказательствах, и остаются трудными для окончательной проверки.
Разработчики заявили, что с тех пор проект перенес свою инфраструктуру обновлений на нового провайдера хостинга и внедрил дополнительные меры безопасности в версии 8.9.1 для усиления механизма обновлений. Пользователей призвали обновить программное обеспечение в качестве меры предосторожности.