Kompromitacja infrastruktury hostingowej Notepad++
Atak był przeprowadzony bardzo sprytnie – napastnicy nie wykorzystywali żadnych luk programu Notepad++, zamiast tego skupili się na przejęciu kontroli nad serwerem aktualizacji u dostawcy hostingu. To z kolei pozwoliło na przechwytywanie ruchu kierowanego do głównej domeny edytora i przekierowywanie wybranych żądań na swoje kontrolowane przez napastników serwery.
Gdy użytkownik sprawdzał dostępność aktualizacji, jego komputer komunikował się z oficjalną domeną. Jednak wybrane osoby zamiast prawidłowego pliku z informacjami o aktualizacji otrzymywały spreparowany dokument XML, wskazujący na zainfekowany instalator, który pobierał się i instalował jak zwykła, autentyczna aktualizacja. Cały proces odbywał się bez żadnych ostrzeżeń, w pełni wykorzystując zaufanie użytkownika do programu.
Bezpośredni dostęp do współdzielonego serwera hostingowego utrzymywany był do 2 września 2025 roku. Tego dnia przeprowadzono zaplanowaną konserwację, która położyła kres tej fazie ataku. To jednak nie był koniec problemów. Atakującym bowiem udało się zachować dane logowania do wewnętrznych paneli administracyjnych dostawcy hostingu – dzięki temu przez kolejne trzy miesiące, aż do 2 grudnia, nadal mogli manipulować ruchem. Analiza logów dostawcy hostingu wskazuje, że atak był ukierunkowany wyłącznie na domenę związaną z Notepad++. Prawdopodobnie dysponowali wcześniejszą wiedzą na temat luk w mechanizmach weryfikacji starszych wersji edytora.
Czytaj też: Apple z rekordowym kwartałem, ale gigant ma poważny problem
Podejrzenia o państwowe wsparcie ze strony Sami-Wiecie-Kogo
Charakter tej kampanii – selektywny, długoterminowy i precyzyjny – skłonił wielu analityków do postawienia tezy o zaangażowaniu grupy sponsorowanej przez państwo (a nawet do wskazania Chin, jako zleceniodawcy). Wybór celu też jest znaczący. Notepad++ to narzędzie powszechnie używane w środowiskach programistycznych i przez administratorów systemów. Dostęp do takich komputerów jest niezwykle cenny dla grup szpiegowskich, znanych jako APT (Advanced Persistent Threat). Zamiast głośnej, masowej infekcji, wybrano cichą inwigilację wyselekcjonowanych ofiar, co jest klasyczną metodą operacji wywiadowczych.
Nowe zabezpieczenia Notepad++ w samym programie i w infrastrukturze
Po wykryciu incydentu twórca Notepad++ podjął radykalne kroki. Zaangażowano zewnętrznych ekspertów ds. bezpieczeństwa, a dostawca hostingu zresetował wszystkie dane uwierzytelniające i przeniósł klientów na nowe, zabezpieczone serwery. Na wszelki wypadek twórcy Notepada++ podjęli także decyzję o zmianie dostawcy usług na firmę oferującą wyższe standardy ochrony.
Kluczowe zmiany musiały także zajść w samym edytorze – wersja 8.8.9 wprowadziła istotne ulepszenia w narzędziu do aktualizacji WinGup. Teraz weryfikuje ono nie tylko certyfikat, ale i cyfrowy podpis pobieranego instalatora, dodatkowo, pliki XML z serwera są podpisywane przy użyciu standardu XMLDSig. Od nadchodzącej wersji 8.9.2, planowanej na marzec 2026 roku, ta walidacja będzie obowiązkowa i nawet gdyby hakerzy ponownie przejęli serwer, bez klucza prywatnego twórców Notepad++ nie będą w stanie podrzucić użytkownikom złośliwego kodu.
Nowe zabezpieczenia Notepad++ to jednak nie wszystko – każdy, kto korzystał z Notepad++ między czerwcem a grudniem 2025 roku, powinien przyjąć założenie, że jego instalacja mogła stać się ofiarą ataku – choć bowiem nie był to atak masowy, dostępne informacje nie pozwalają ustalić, kto dokładnie padł jego ofiarą. Twórca aplikacji zaleca zatem ręczną aktualizację do najnowszej dostępnej wersji, czyli 8.9.1, która zawiera wszystkie poprawki bezpieczeństwa – obowiązkowo przy pomocy instalatora pobranego z oficjalnej strony, a nie przez niepewny mechanizm aktualizacji. W środowiskach korporacyjnych administratorzy powinni także przejrzeć logi w poszukiwaniu nietypowej aktywności związanej z aktualizacjami edytora w tym okresie.
Morał z ataku jest taki – nawet najstaranniej napisany kod nie ochroni użytkowników, jeśli luka istnieje w infrastrukturze, która go dystrybuuje. Połączenie błędów po stronie hostingu z niedoskonałościami w procesie weryfikacji dało napastnikom komfortowe pół roku na działania. Twórca Notepad++ publicznie przeprosił za zaistniałą sytuację i zapewnił, że wszystkie znane ścieżki ataku zostały zablokowane.