Actualizare Notepad++ compromisă după deturnarea serverelor de găzduire

Utilizatorii editorului de text şi cod Notepad++ ar fi putut descărca fără să ştie o actualizare maliţioasă, după ce serverele de găzduire partajată ale aplicaţiei au fost compromise anul trecut. Luni, dezvoltatorul aplicaţiei, Don Ho, a publicat noi detalii despre incident, precizând că atacatorii au fost „cel mai probabil un grup sponsorizat de statul chinez” şi că infrastructura Notepad++ a fost vulnerabilă timp de aproximativ şase luni, din iunie până pe 2 decembrie 2025.
Potrivit explicaţiilor, compromiterea a avut loc la nivelul furnizorului de hosting, al cărui nume nu a fost făcut public. Traficul anumitor utilizatori vizaţi a fost redirecţionat selectiv către servere controlate de atacatori, de unde erau livrate fişiere de actualizare maliţioase. În aceste cazuri, actualizarea legitimă putea fi înlocuită cu un executabil periculos care, conform expertului independent în securitate cibernetică Kevin Beaumont, ar fi putut oferi atacatorilor acces de la distanţă la tastatura victimelor.
Don Ho a mai precizat că atacul a implicat o selecţie extrem de strictă a ţintelor, ceea ce sugerează că nu toţi utilizatorii au fost expuşi riscului. Kevin Beaumont a declarat că organizaţiile cu care a discutat şi care au fost afectate aveau „interese în Asia de Est”, indicând că scopul atacului a fost supravegherea unor persoane sau entităţi specifice, nu infectarea în masă.
Dezvoltatorul nu a menţionat momentul exact în care a descoperit atacul, dar a confirmat că orice acces al atacatorilor a fost eliminat complet până pe 2 decembrie. Între timp, mecanismul de actualizare al Notepad++ a fost îmbunătăţit, fiind adăugate măsuri de securitate mai stricte pentru detectarea modificărilor şi verificarea autenticităţii update-urilor.
Utilizatorii sunt sfătuiţi să se asigure că folosesc cel puţin versiunea 8.8.9 de Notepad++, care remediază vulnerabilităţile exploatate în acest atac, şi să o descarce direct de pe site-ul oficial. De asemenea, Kevin Beaumont recomandă verificarea utilizării unei versiuni oficiale a aplicaţiei, monitorizarea atentă a activităţii fişierului gup.exe, responsabil de actualizări, şi căutarea unor fişiere suspecte precum update.exe sau AutoUpdater.exe în folderul TEMP.
În context, este de menţionat că Don Ho a criticat public guvernul chinez într-o actualizare din 2019 a aplicaţiei, denumită „Free Uyghur”. La acel moment, el declara că site-ul Notepad++ a fost ţinta unor atacuri DDoS ca reacţie la această poziţie.