A Notepad++ frissítési infrastruktúráját mintegy hat hónapon keresztül kompromittálták feltehetően kínai állami kötődésű hackerek – közölték a fejlesztők. A támadók a frissítési rendszer eltérítésével egyes, célzott felhasználókat rosszindulatú szerverekre irányítottak át, ahol hátsó kaput (backdoort) tartalmazó verziókat kaptak az alkalmazásból.
A támadás 2025 júniusában indult, és a Notepad++ csak decemberben tudta teljes mértékben visszaszerezni az irányítást az érintett infrastruktúra felett. A kártevőt Chrysalis néven azonosította a Rapid7, amely szerint egy korábban nem ismert, kifinomult és tartós hozzáférést biztosító backdoorról van szó, nem pedig alkalmi támadóeszközről.
Kevin Beaumont független biztonsági kutató arról számolt be, hogy több szervezetnél is tényleges behatolás történt az érintett frissítések révén. Egyes esetekben a támadók közvetlen, interaktív irányítást szereztek az érintett rendszerek felett. A sebezhetőséget a Notepad++ régebbi frissítési ellenőrzési megoldásai tették lehetővé, amelyeket azóta megerősítettek.
A fejlesztők és a szakértők minden felhasználót arra figyelmeztetnek, hogy legalább a Notepad++ 8.9.1-es verzióját használják, és kizárólag a hivatalos weboldalról, manuálisan telepítsék a programot. Nagyobb szervezeteknél további óvintézkedések is indokoltak lehetnek a frissítési folyamat korlátozására. – írja a ArsTechnica.
Kép forrása: PCMag.