A Notepad++ további részleteket osztott meg arról az ellátásilánc támadásról, amely 2025 decemberében került nyilvánosságra. A projekt tájékoztatása szerint nagy valószínűséggel egy kínai, államilag támogatott APT csoport célzott támadást hajtott végre egyes felhasználók ellen egy tárhelyszolgáltató infrastruktúráján keresztül.

Az incidens híre azt követően látott napvilágot, hogy a Notepad++ olyan frissítéseket adott ki, amelyek célja a nyílt forráskódú szövegszerkesztő frissítési mechanizmusának eltérítés-elleni védelme volt.

Kevin Beaumont kiberbiztonsági kutató december elején arról számolt be, hogy néhány Notepad++-t használó szervezetet rosszindulatú kódot tartalmazó frissítésekkel támadtak meg. Állítása szerint a Notepad++ infrastruktúráját Kínához köthető hackercsoportok használták ki a kezdeti hozzáférés megszerzésére, főként kelet-ázsiai távközlési vállalatok és pénzügyi szolgáltatók rendszereihez.

A Notepad++ megalkotója és karbantartója, Don Ho most nyilvánosságra hozta egy külső biztonsági szakértőkkel és az érintett megosztott tárhelyszolgáltatóval közösen lefolytatott vizsgálat eredményeit. Az elemzés szerint a támadás során infrastruktúra szinten történt kompromittáció, ami lehetővé tette a támadók számára, hogy elfogják a notepad-plus-plus[.]org felé irányuló frissítési adatforgalmat és azt a saját irányításuk alatt álló rendszerek felé tereljék. A pontos technikai mechanizmus továbbra is vizsgálat alatt áll, azonban a kompromittáció a tárhelyszolgáltató szintjén történt, nem pedig a Notepad++ kódjában lévő sérülékenységek kihasználásával. Egyes, célzottan kiválasztott felhasználók adatforgalmát szelektíven a támadók által üzemeltetett szerverekre irányították át, ahonnan rosszindulatú frissítést töltöttek le. „Több független biztonsági kutató is arra a következtetésre jutott, hogy a támadó nagy valószínűséggel egy kínai állam által támogatott csoport lehetett, ami magyarázatot ad a kampány során megfigyelt rendkívül szelektív célzásra” – jegyezte meg Ho.

A tárhelyszolgáltató vizsgálata során gyűjtött információk szerint a támadók kifejezetten a Notepad++-t vették célba annak érdekében, hogy elfogják a felhasználók adatforgalmát. A szolgáltató nem talált bizonyítékot arra, hogy ugyanazon a megosztott szerveren más ügyfeleket is ért volna támadás.

A támadás feltehetően 2025 júniusában indult, és a tárhelyszolgáltató megállapítása szerint az érintett szerver egészen szeptember 2-ig kompromittált állapotban volt, amikor is egy ütemezett karbantartás során frissítették a rendszermagot és a firmware-t.

Ennek ellenére a szeptember előtt megszerzett hitelesítő adatok lehetővé tették a támadók számára, hogy december 2-ig fenntartsák hozzáférésüket a tárhelyszolgáltató belső szolgáltatásaihoz. Ebben az időszakban a kiberbűnözők képesek voltak a Notepad++ frissítőszervereire irányuló forgalmat a saját szervereikre átirányítani, és azon keresztül kártékony szoftvert terjeszteni.

Az incidens lezárása és a szolgáltató intézkedései

A tárhelyszolgáltató közlése szerint 2025. december 2. után már nem észleltek támadói aktivitást. Addigra:

• kijavították azokat a sérülékenységeket, amelyek kihasználásával a támadás lehetséges volt,
• minden érintett hitelesítő adatot rotáltak,
• átfogó naplóelemzést végeztek az összes tárhelykiszolgálón, további kompromittálás jelei nélkül.

Érdekesség, hogy egy független biztonsági szakértő elemzése szerint a tényleges támadói aktivitás november 10. körül megszűnt, míg a szolgáltató dokumentációja december 2-ig számolt potenciális hozzáféréssel. A két értékelés alapján a teljes kompromittálási időszak júniustól december elejéig terjedhetett.

A Notepad++ válasza és biztonsági megerősítések

A történtekre reagálva a Notepad++ projekt több kritikus lépést tett:

• Új tárhelyszolgáltatóra költözött, lényegesen szigorúbb biztonsági gyakorlattal.
• A WinGup frissítő a v8.8.9-es verziótól kezdve már ellenőrzi a letöltött telepítő tanúsítványát és digitális aláírását.
• A frissítési szerver által visszaadott XML válaszok immár XMLDSig aláírással védettek.
• Az XML aláírás és tanúsítvány kötelező ellenőrzése a várható v8.9.2-es verziótól (körülbelül egy hónapon belül) válik kötelezővé.

A projekt vezetője nyilvánosan bocsánatot kért az érintett felhasználóktól, és azt javasolja, hogy mindenki manuálisan frissítsen legalább a 8.9.1-es verzióra, amely már tartalmazza a legfontosabb védelmi fejlesztéseket.

Külső elemzések és további információk

Az incidenssel párhuzamosan Rapid7 (Ivan Feigl) is közzétette saját, részletes vizsgálatát, amely technikai indikátorokat (IoC-ket) is tartalmaz. Emellett a Kaspersky is publikált egy mélyreható technikai elemzést a támadásról.

Összességében a Notepad++ frissítési láncát érintő kompromittálás az elmúlt évek egyik legsúlyosabb, nyílt forráskódú projektet érintő ellátási lánc elleni támadása volt. A bevezetett ellenintézkedések alapján azonban jó eséllyel véglegesen lezárták a támadási felületet – a jövőbeni biztonság kulcsa pedig a kriptográfiailag hitelesített frissítési mechanizmusok következetes alkalmazása.

(forrás, forrás)