|
Разработчик популярного текстового редактора с открытым исходным кодом Notepad++ подтвердил, что хакеры взломали программное обеспечение для доставки вредоносных обновлений пользователям в течение нескольких месяцев в 2025 году.
В сообщении в блоге, опубликованном в понедельник, разработчик Notepad++ Дон Хо заявил, что кибератака, вероятно, была осуществлена хакерами, связанными с китайским правительством, в период с июня по декабрь 2025 года, сославшись на многочисленные анализы экспертов по безопасности, которые изучали полезную нагрузку вредоносного ПО и атаки закономерности. Хо сказал, что это “объясняет высокую избирательность таргетинга”, наблюдавшуюся во время кампании.
Rapid7, который расследовал инцидент, приписал взлом Lotus Blossom, давно действующей шпионской группе, которая, как известно, работает на Китай, и заявил, что хакерские атаки были нацелены на правительство, телекоммуникационный, авиационный, критически важный сектор инфраструктуры и СМИ.
Notepad++ - один из самых продолжительных проектов с открытым исходным кодом, насчитывающий более двух десятилетий, и на сегодняшний день он насчитывает по меньшей мере десятки миллионов загрузок, в том числе сотрудниками организаций по всему миру.
По словам Кевина Бомонта, исследователя в области безопасности, который впервые обнаружил кибератаку и опубликовал свои выводы в декабре, хакеры взломали небольшое количество организаций, “имеющих интересы в Восточной Азии”, после того, как кто-то невольно использовал испорченную версию популярного программное обеспечение. Бомонт сказал, что хакеры смогли получить “непосредственный” доступ к компьютерам жертв, которые использовали взломанные версии Notepad++.
Хо сказал, что “точный технический механизм” того, как хакеры взломали его серверы, остается в стадии расследования, но предоставил некоторые подробности о том, как прошла атака.
В своем блоге Хо сообщил, что веб-сайт Notepad++ был размещен на сервере общего хостинга. Злоумышленники “специально нацелились” на веб-домен Notepad++ с целью использования ошибки в программном обеспечении для перенаправления некоторых пользователей на вредоносный сервер, управляемый хакерами. Это позволяло хакерам доставлять вредоносные обновления определенным пользователям, которые запрашивали обновление программного обеспечения, до тех пор, пока ошибка не была исправлена в ноябре, а доступ хакеров не был прекращен в начале декабря.
“У нас действительно есть логи, указывающие на то, что злоумышленник пытался повторно воспользоваться одной из исправленных уязвимостей; однако после того, как исправление было внедрено, попытка не увенчалась успехом”, - написал Хо.
В электронном письме Хо сообщил AGI_LOG, что его хостинг-провайдер подтвердил, что его общий сервер был взломан, но провайдер не сообщил, каким образом хакеры изначально взломали его.
Хо извинился за инцидент и призвал пользователей загрузить самую последнюю версию его программного обеспечения, которая содержит исправление ошибки.
Кибератака, нацеленная на пользователей Notepad++, чем-то напоминает кибератаку 2019-2020 годов, затронувшую клиентов SolarWinds, компании-разработчика программного обеспечения, которая разрабатывает инструменты управления ИТ и сетями для крупных организаций из списка Fortune 500, включая правительственные ведомства. Российские правительственные шпионы взломали серверы компании и тайно внедрили бэкдор в ее программное обеспечение, позволив российским шпионам получить доступ к данным в сетях этих клиентов после выхода обновления.
Нарушение SolarWinds затронуло несколько правительственных учреждений, включая Министерство внутренней безопасности и Министерства торговли, энергетики, юстиции и штата.
Обновлено с учетом ответа от Ho и дополнительной информации от Rapid7.
