Notepad++, jedan od najčešće korištenih tekst-editora za Windows, objavio je da je njegova infrastruktura za ažuriranja bila kompromitovana tokom višemjesečnog sigurnosnog incidenta koji se pripisuje hakerskoj grupi povezanoj sa kineskom državom.

Ova saznanja nadovezuju se na raniju bezbjednosnu objavu povodom izdanja Notepad++ v8.8.9, a rezultat su produžene istrage sprovedene u saradnji sa nezavisnim sigurnosnim stručnjacima i bivšim provajderom dijeljenog hostinga projekta.

 

Kompromitacija infrastrukture, a ne izvornog koda

 

Prema rezultatima istrage, napadači nisu iskoristili ranjivosti u izvornom kodu Notepad++-a. Umjesto toga, kompromitovali su infrastrukturu na nivou hosting provajdera, što im je omogućilo da selektivno presreću i preusmjeravaju saobraćaj za ažuriranja namijenjena domenu notepad-plus-plus.org.

Sigurnosni analitičari su utvrdili da je dio korisnika bio ciljan te da su njihovi zahtjevi za ažuriranje preusmjeravani na servere pod kontrolom napadača, sa kojih su isporučivani izmijenjeni manifesti za ažuriranje. Upravo ova visoko selektivna priroda napada jedan je od ključnih razloga zbog kojih se kampanja pripisuje državnom akteru.

 

Vremenski okvir napada

 

  • jun 2025. – smatra se da je napad započeo
  • 2. septembar 2025. – tokom planiranog održavanja hosting provajder je izvršio ažuriranje kernela i firmvera, nakon čega napadači gube direktan pristup serveru
  • septembar–decembar 2025. – iako bez direktnog pristupa serveru, napadači zadržavaju pristup internim servisnim kredencijalima, što im omogućava nastavak preusmjeravanja dijela saobraćaja za ažuriranja
  • 10. novembar 2025. – prema procjeni nezavisnih stručnjaka, zlonamjerna aktivnost prestaje oko ovog datuma
  • 2. decembar 2025. – provajder rotira sve kredencijale i potvrđuje potpuno uklanjanje pristupa napadača

Na osnovu obe analize, procjenjuje se da je kompromitacija trajala od juna do 2. decembra 2025. godine.

 

Nalazi hosting provajdera

 

Bivši hosting provajder je potvrdio da:

  • meta napada bio je isključivo shared hosting server na kojem je bio smješten Notepad++
  • nijedan drugi klijent na istoj infrastrukturi nije bio pogođen
  • napadači su ciljano tražili domen Notepad++-a, vjerovatno zbog ranijih slabosti u mehanizmima verifikacije ažuriranja
  • pokušaji ponovne eksploatacije nakon sanacije nisu bili uspješni
  • svi potencijalno kompromitovani kredencijali su rotirani, a slični obrasci napada nisu pronađeni na drugim serverima

 

Mjere sanacije i sigurnosna poboljšanja

 

Kao odgovor na incident:

  • zvanična web-stranica Notepad++-a je u potpunosti migrirana na novog hosting provajdera sa znatno jačim sigurnosnim praksama
  • WinGup mehanizam za ažuriranje je u verziji v8.8.9 unaprijeđen tako da provjerava i sertifikat i digitalni potpis preuzetog instalera
  • XML podaci koje vraća server za ažuriranje sada su kriptografski potpisani (XMLDSig)
  • obavezna provjera sertifikata i potpisa biće u potpunosti sprovedena od verzije v8.9.2, čije se izdanje očekuje u narednih mjesec dana

 

Preporuka korisnicima

 

Korisnicima se preporučuje da ručno preuzmu i instaliraju Notepad++ v8.9.1 ili noviju verziju, koja sadrži ključna sigurnosna poboljšanja vezana za verifikaciju ažuriranja.

Iz Notepad++ projekta navode da su svi poznati vektori napada zatvoreni i da od početka decembra 2025. nije zabilježena dalja zlonamjerna aktivnost.

 

(Izvor: notepad-plus-plus.org)