A Notepad++ egyike a világ legnépszerűbb, ingyenes és nyílt forráskódú szövegszerkesztőinek és kódszerkesztőinek, amelyet fejlesztők, rendszergazdák és technikai felhasználók milliói használnak nap mint nap. Azonban a közelmúltban egy rendkívül kifinomult kibertámadás tette célpontjává ezt a bizalomra épülő eszközt – nem magát a programot, hanem azt a mechanizmust, amelyen keresztül a szoftver frissítéseket kap.

Mi történt pontosan?

A Notepad++ fejlesztői megerősítették, hogy nem a szerkesztő alkalmazás maga sérült meg közvetlenül, hanem az update (frissítő) infrastruktúra – vagyis az a rendszer, amelyen keresztül a program automatikusan letölti és telepíti a frissítéseket. A támadás 2025 júniusa és 2025 decembere között zajlott, és majdnem hat hónapig maradt észrevétlen.

A támadás kiindulópontja a megosztott tárhelyszolgáltató szervereinek megsértése volt: a Notepad++ hivatalos weboldalát és frissítési csatornáját kiszolgáló infrastruktúrát kompromittálták. Ez lehetővé tette, hogy egyes felhasználók frissítési kéréseit átirányítsák egy támadó által kontrollált szerverre, amely hamis, kártékony frissítéseket kínált.

A támadás tehát nem a Notepad++ programkódba, hanem a frissítési folyamatba épült be – egy klasszikus ellátási lánc (supply chain) támadás. Ez azért különösen veszélyes, mert a legtöbb felhasználó megbízik a szoftver frissítési csatornájában – és feltételezi, hogy a hivatalos frissítések biztonságosak.

Kik állnak a támadás mögött?

Független biztonsági elemzők és a Notepad++ fejlesztője, Don Ho, egybehangzóan azt közölték, hogy a támadást valószínűleg a Lotus Blossom nevű, Kínához köthető állami támogatott hackercsoport hajtotta végre. Ez a csoport évek óta ismert a célzott kiberbűnözői tevékenységeiről, és korábban más kritikus infrastruktúrákat és szervereket kompromittált már.

Érdemes megjegyezni, hogy a támadás jellege nem véletlenszerű fertőzés volt: a frissítési forgalmat csak bizonyos célzott felhasználóknál irányították át, ami arra utal, hogy a támadók nem tömeges fertőzést akartak, hanem inkább kémkedési vagy célzott szivárgási célokat szolgáltak.

Hogyan működött a támadás?

A támadók a frissítési kérések átirányítása során úgy módosították a forgalmat, hogy egy hamisított update.exe telepítőt juttattak a felhasználók rendszereire. Ez a telepítő pedig akár rejtett hátsó kaput (backdoor) is telepíthetett, amely távoli vezérlést tett lehetővé, vagy további kártékony műveleteket hajthatott végre.

A frissítési mechanizmus – amelyet a Notepad++ WinGUp néven ismer – eredetileg nem ellenőrizte elég alaposan a letöltött csomagok integritását és azonosítóit. Emiatt a kompromittált frissítések a rosszindulatú szerverről is elfogadásra kerülhettek.

Mik a következmények, és mi változott?

Amikor a fejlesztők felfedezték a problémát, gyorsan reagáltak:

• áthelyezték a projektet egy biztonságosabb tárhelyszolgáltatóhoz,
• kiadták a 8.8.9-es verziót, amely szigorúbb aláírás- és tanúsítvány-ellenőrzést tartalmaz a frissítésekhez,
• további biztonsági intézkedéseket vezettek be, hogy minimalizálják az ilyen kompromittálás kockázatát a jövőben.

A korábbi verziót használó felhasználóknak javasolt manuálisan frissíteni a programot az új, javított verzióra, a hivatalos weboldalról letöltve, és nem bízni kizárólag az automatikus frissítési csatornában.

Mit tanulhatunk ebből?

Ez az incidens egy klasszikus ellátási lánc támadás példája, amely rámutat arra, mennyire sebezhetővé válik egy szoftver akkor, ha a frissítési infrastruktúra nincs kellően védve.

• A szoftver maga lehet teljesen biztonságos, de ha a frissítés csatornája kompromittálható, az akár súlyosabb veszélyt is jelenthet.
• A felhasználóknak nem elég csak telepíteni a programokat: tudatosan ellenőrizni kell a frissítéseket, és szükség esetén kézi letöltést kell végezni a biztonság javítása érdekében.
• A fejlesztőknek pedig elengedhetetlen a szigorú frissítés-ellenőrzés, digitális aláírások és tanúsítványok alkalmazása minden letöltött csomagra.

A cikk forrása: The Hacker News