Notepad++ ir apdraudēts — lūk, kas notika un kā aizsargāt datoru

• Notepad++ mitināšanas pakalpojumu sniedzēja konts tika nolaupīts laikā no 2025. gada jūnija līdz decembrim.
• Uzbrucēji novirzīja iebūvētā atjauninātāja lietotāju atjauninājumu trafiku uz ļaunprātīgiem serveriem.
• Riskam bija pakļauti tikai lietotāji, kas atjaunināja, izmantojot iebūvēto atjauninātāju. Manuāla lejupielāde no oficiāliem avotiem bija droša.
• Lietotņu binārie faili netika apdraudēti. Uzbrukums izmantoja vājas atjauninājumu verifikācijas kontroles.
• Izstrādātāji pārgāja uz drošu resursdatoru, mainīja akreditācijas datus un uzlaboja WinGup atjauninātāja verifikāciju.

Notepad++, plaši izmantota alternatīva Windows 11 iebūvētajai lietotnei Notepad, ir apstiprinājusi, ka tās mitināšanas pakalpojumu sniedzēja kontu laika posmā no 2025. gada jūnija līdz decembrim apdraudēja ļaunprātīgi lietotāji. Pārkāpums ļāva uzbrucējiem novirzīt dažus lietotājus uz ļaunprātīgiem serveriem, izmantojot kompromitētus atjauninājumu manifestus.

Saskaņā ar oficiālo paziņojumu drošības eksperti ir identificējuši infrastruktūras līmeņa kompromitāciju pie Notepad++ bijušā mitināšanas pakalpojumu sniedzēja. Uzbrucēji izmantoja sistēmu, lai pārtvertu atjauninājumu trafiku, kas bija paredzēts notepad-plus-plus.org , mērķējot uz lietotāju apakškopu ar ļaunprātīgiem atjauninājumu failiem. Analītiķi norāda, ka uzbrukuma mērķtiecīgais raksturs norāda uz spiegošanas centieniem, nevis plašu ļaunprogrammatūras kampaņu.

Ļaunprātīgās personas sākotnēji saglabāja piekļuvi mitināšanas serveriem līdz 2025. gada 2. septembrim. Pat pēc tiešās piekļuves zaudēšanas viņi saglabāja iekšējo pakalpojumu akreditācijas datus līdz 2025. gada 2. decembrim, ļaujot turpināt pārtvert atjauninājumu datplūsmu. Šī ievainojamība izmantoja zināmas ievainojamības vecākās Notepad++ versijās, tostarp nepietiekamu atjauninājumu verifikācijas kontroli.

Kuru tas skāra?

Risks bija pakļauts tikai tiem lietotājiem, kuri atjaunināja Notepad++, izmantojot iebūvēto atjauninātāju laikā no 2025. gada jūnija līdz decembrim. Tomēr lietotāji, kuri manuāli lejupielādēja instalētājus no oficiālās vietnes vai GitHub laidieniem, netika ietekmēti .

Drošības analītiķi apstiprina, ka nav pierādījumu par masveida komandvadību vai plašu sistēmas ļaunprātīgu izmantošanu. Uzbrukums šķiet ļoti mērķtiecīgs, visticamāk, vērsts pret konkrētām organizācijām vai personām.

Koriģējošie un drošības uzlabojumi

Pēc lietotnes izstrādātāja teiktā, Notepad++ ir pārgājis uz jaunu, drošāku mitināšanas pakalpojumu sniedzēju, lai novērstu turpmākus infrastruktūras līmeņa apdraudējumus.

Iepriekšējā pakalpojumu sniedzēja iekšējie akreditācijas dati ir mainīti, nodrošinot, ka jebkāda uzbrucēju ilgstoša piekļuve ir atsaukta.

Lietotnes atjauninātājs WinGup 8.8.9 versijā tika uzlabots, lai pārbaudītu gan sertifikātu, gan instalētāja parakstu, tādējādi pastiprinot atjauninājumu lejupielāžu drošību.

Paredzams, ka piezīmju veikšanas lietotne tuvākajās nedēļās saņems arī 8.9.2. versiju, kas visiem atjauninājumiem ieviesīs stingru XMLDSig sertifikātu un parakstu verifikāciju, vēl vairāk aizsargājot lietotājus no manipulācijām vai pāradresācijas uzbrukumiem.

Kas lietotājiem būtu jādara?

Notepad++ komanda mudina visus lietotājus manuāli atjaunināt uz 8.9.1 vai jaunāku versiju un atiestatīt akreditācijas datus visiem pakalpojumiem, kas saistīti ar iepriekšējo mitināšanas vidi, tostarp SSH, FTP un MySQL datubāzēm.

Tāpat ieteicams veikt pilnu pretvīrusu skenēšanu, ja attiecīgajā periodā atjauninājāt, izmantojot iebūvēto atjauninātāju.

Šis incidents kalpo kā atgādinājums par piegādes ķēdes uzbrukumu riskiem un nepieciešamību pārbaudīt programmatūras avotu un lejupielāžu autentiskumu. Pat uzticamus izstrādātāju kontus var nolaupīt, kas uzsver spēcīgas mitināšanas drošības un stingras atjauninājumu pārbaudes nozīmi.