За перехватом обновлений Notepad++ стояла китайская APT-группа

Разработчик Notepad++ официально подтвердил, что за перехватом трафика обновлений редактора, продолжавшимся почти полгода, с высокой вероятностью стояли злоумышленники, связанные с китайским государством.

Атака заключалась в перехвате и выборочной подмене запросов на обновление: отдельные пользователи перенаправлялись на вредоносные серверы, которые отдавали поддельные манифесты обновлений. Это стало возможным из-за уязвимости в механизмах проверки обновлений в старых версиях Notepad++.

Как проходила атака​

По данным хостинг-провайдера, обслуживавшего инфраструктуру обновлений, журналы указывают на компрометацию сервера, связанного с системой обновлений Notepad++.

В расследовании участвовали независимые специалисты по безопасности, которые установили, что атака началась в июне 2025 года. При этом она имела узконаправленный характер — вредоносная инфраструктура использовалась только для перенаправления ограниченного круга пользователей.

"Несколько независимых исследователей в области безопасности пришли к выводу, что за атакой, вероятно, стоит китайская государственная APT-группа, что объясняет крайне избирательный характер кампании", — говорится в заявлении Notepad++.

Злоумышленники целенаправленно атаковали домен Notepad++, используя недостатки проверки подлинности обновлений, присутствовавшие в устаревших версиях приложения.

Реакция разработчиков и устранение уязвимости​

В декабре Notepad++ выпустил версию 8.8.9, в которой была устранена уязвимость в инструменте обновлений WinGUp. Ранее несколько исследователей сообщили, что механизм обновления мог получать вредоносные пакеты вместо легитимных.

Исследователь безопасности Кевин Бомонт предупреждал, что ему известно как минимум о трех организациях, пострадавших от перехвата обновлений, после чего в их сетях фиксировалась активная разведывательная деятельность злоумышленников.

Notepad++ — это бесплатный редактор исходного кода с открытым исходным кодом, широко используемый в Windows, с десятками миллионов пользователей по всему миру.

Компрометация хостинга и повторный доступ атакующих​

Как пояснил разработчик, атака стала возможной после компрометации хостинг-провайдера в июне 2025 года, что позволило злоумышленникам выполнять целевые перенаправления трафика.

В начале сентября атакующие временно потеряли доступ после обновления ядра и прошивки сервера. Однако они смогли восстановить контроль, используя ранее скомпрометированные внутренние учетные данные, которые не были своевременно заменены.

Атака продолжалась до 2 декабря 2025 года, когда хостинг-провайдер окончательно обнаружил компрометацию и отключил доступ злоумышленников.

Принятые меры безопасности​

После инцидента Notepad++:

• перенес инфраструктуру обновлений к новому хостинг-провайдеру с усиленными мерами безопасности;
• сменил все учетные данные, которые могли быть скомпрометированы;
• устранил использованные уязвимости;
• провел детальный анализ журналов, подтвердив прекращение вредоносной активности.

Хостинг-провайдер также выполнил ротацию всех секретов и рекомендовал разработчику ряд дополнительных мер, включая смену учетных данных SSH, FTP/SFTP и MySQL, аудит учетных записей WordPress и обновление компонентов CMS.

Начиная с версии Notepad++ 8.8.9, WinGUp проверяет сертификаты и цифровые подписи установщиков, а файл обновлений XML теперь криптографически подписан. В версии 8.9.2, выход которой ожидается примерно через месяц, планируется обязательная проверка подписи сертификатов.

Связь с APT Lotus Blossom​

Издание BleepingComputer запросило у основного разработчика Notepad++ Дона Хо индикаторы компрометации (IoC), которые могли бы помочь пользователям определить, затронула ли их атака.

По его словам, в логах были обнаружены признаки вторжения, однако конкретных IoC выявить не удалось, а получить их от бывшего хостинг-провайдера также не получилось.

При этом исследователи Rapid7 связали кампанию с китайской APT-группой Lotus Blossom (также известной как Raspberry Typhoon, Bilbug и Spring Dragon). По их данным, злоумышленники использовали ранее не задокументированный бэкдор, получивший название Chrysalis.

Исследователи считают Chrysalis высокоразвитым инструментом, предназначенным для постоянного присутствия в системе жертвы. Однако они отмечают, что не нашли однозначных артефактов, подтверждающих эксплуатацию именно механизма обновлений.

"Единственное подтвержденное поведение — запуск notepad++.exe и затем GUP.exe, после чего выполнялся подозрительный процесс update.exe", — сообщили в Rapid7.

Обновления материала​

Update [2 февраля]: в статью добавлены комментарии Дона Хо и детали расследования Rapid7.
Update [3 февраля]: уточнено, что рекомендации хостинг-провайдера были адресованы разработчику Notepad++, а не конечным пользователям.

Источник

 

[akok]

Больше подробностей о атаке

The Notepad++ supply chain attack – unnoticed execution chains and new IoCs

Kaspersky GReAT experts discovered previously undocumented infection chains used in the Notepad++ supply chain attacks. The article provides new IoCs related to those incidents which employ DLL sideloading and Cobalt Strike Beacon delivery.

securelist.com

 

[vincentross12]

Разработчик Notepad++ официально подтвердил, что за перехватом трафика обновлений редактора, продолжавшимся почти полгода, с высокой вероятностью стояли злоумышленники, связанные с китайским государством.

Атака заключалась в перехвате и выборочной подмене запросов на обновление: отдельные пользователи перенаправлялись на вредоносные серверы, которые отдавали поддельные манифесты обновлений. Это стало возможным из-за уязвимости в механизмах проверки обновлений в старых версиях Notepad++.

Как проходила атака​

По данным хостинг-провайдера, обслуживавшего инфраструктуру обновлений, журналы указывают на компрометацию сервера, связанного с системой обновлений Notepad++.

В расследовании участвовали независимые специалисты по безопасности, которые установили, что атака началась в июне 2025 года. При этом она имела узконаправленный характер — вредоносная инфраструктура использовалась только для перенаправления ограниченного круга пользователей .


Злоумышленники целенаправленно атаковали домен Notepad++, используя недостатки проверки подлинности обновлений, присутствовавшие в устаревших версиях приложения.

Реакция разработчиков и устранение уязвимости​

В декабре Notepad++ выпустил версию 8.8.9, в которой была устранена уязвимость в инструменте обновлений WinGUp. Ранее несколько исследователей сообщили, что механизм обновления мог получать вредоносные пакеты вместо легитимных.

Исследователь безопасности Кевин Бомонт предупреждал, что ему известно как минимум о трех организациях, пострадавших от перехвата обновлений, после чего в их сетях фиксировалась активная разведывательная деятельность злоумышленников.

Notepad++ — это бесплатный редактор исходного кода с открытым исходным кодом, широко используемый в Windows, с десятками миллионов пользователей по всему миру.

Похоже, основной риск был для пользователей старых версий, так что логично просто обновиться до последней и проверить источники загрузки. Есть ли рекомендации по проверке, был ли клиент перенаправлён на вредоносный сервер?

 

[Dragokas]

Можно узнать, но не со 100% уверенностью.
К сожалению, несмотря на мое почтение к Kaspersky, их аналитики делают часто грубые ошибки (копипаста?) и недосказанности в своих статьях, как например важная мелочь с чего собственно начинается цепочка заражения (тема статьи), т.е. нужно ли пользователю нажать кнопку "Да" в окне обновления или заражение происходит автоматически.

Индикаторы компрометации по данной угрозе (пути, имена файлов, хеши) периодически менялись, и не факт что Rapid7 и Касперские охватили все из них за время существования перехвата обновлений.

Согласно рекомендациям, ЕМНИП мало пригодным для домашнего пользователя и систем без SIEM, т.к. потребуется явно настроенный аудит, можно проверить это:

1. Check systems for deployments of NSIS installers, which were used in all three observed execution chains. For example, this can be done by looking for logs related to creations of a %localappdata%\Temp\ns.tmp directory, made by NSIS installers at runtime. Make sure to investigate the origins of each identified NSIS installer to avoid false positives;
2. Check network traffic logs for DNS resolutions of the temp[.]sh domain, which is unusual to observe in corporate environments. Also, it is beneficial to conduct a check for raw HTTP traffic requests that have a temp[.]sh URL embedded in the user agent — both these steps will make it possible to detect chain #1 and chain #2 deployments;
3. Check systems for launches of malicious shell commands referenced in the article, such as whoami, tasklist, systeminfo and netstat -ano;
Use the specific IoCs listed below to identify known malicious domains and files.

Но для пользователей, у которых заранее не был настроен аудит, самым простым способом будет посмотреть, присутствуют ли у вас на диске такие папки:

%appdata%\ProShow\load
%APPDATA%\Adobe\Scripts
%appdata%\Bluetooth

Нажать Win + R, вставить эти пути - ОК.
Если нету, то есть вероятность, что данные папки уже были стерты. Об этом не упомянуто в статье, однако не лишним будет проверить эти же папки при помощи софта для восстановления удаленных файлов или анализом USN Journal например, через ntfstool от thewhiteninja.

ntfstool.x64.exe usn.dump disk=0 volume=1 output=usn.json format=json

disk= volume= нужно подставить свои из diskpart/diskmgmt, с этим вам придется разобраться самому.

Если вредонос не подчищал за собой следы, то можно воспользоваться Prefetch файлами, чтобы заглянуть в историю запуска процессов и последним файлам, к которым эти процессы обращались.
Для этого можете воспользоваться, например утилитами PECmd от Eric Zimmerman, и WinPrefetchView от Nir Sofer.
Как это выглядит: распаковываете PECmd в c:\tools\PECmd
в терминале, запущенным от Админа, пишите:

cd /d "c:\tools\PECmd"
PECmd.exe -d c:\windows\prefetch > report.txt

Затем ручками в созданном файле report.txt ищите по имени файлов из списка ниже, и проверяете совпадает ли путь:

%appdata%\ProShow\ProShow.exe
%APPDATA%\%Adobe\Scripts\script.exe
%appdata%\Bluetooth\BluetoothService.exe

где %appdata% будет что-то вроде C:\Users\Ваше имя пользователя\AppData\Roaming

Дополнительно, можно заглянуть в папку:

C:\ProgramData\USOShared

и посмотреть, нет ли там лишнего, например скрытых файлов (исполняемых или другого формата отличного от .etl), вредонос устаналивал туда бота CobaltStrike.