- Επιτιθέμενοι παραβίασαν περιβάλλον φιλοξενίας και ανακατεύθυναν επιλεγμένους χρήστες σε κακόβουλους servers κατά τη διαδικασία ενημέρωσης (supply chain vector).
- Η άμεση πρόσβαση κόπηκε στις 2/9/2025 (scheduled maintenance), αλλά η επίθεση συνεχίστηκε έως 2/12/2025 μέσω κλεμμένων διαπιστευτηρίων/εσωτερικών υπηρεσιών.
- Υπάρχει εκτίμηση για κρατικά υποστηριζόμενους δράστες, η απόδοση σε συγκεκριμένη χώρα εμφανίζεται σε ορισμένα ρεπορτάζ και όχι ως δημόσια, οριστική ταυτοποίηση από το ίδιο το project.
- Το WinGup (updater) σκλήρυνε με ελέγχους πιστοποιητικού και ψηφιακής υπογραφής, ενώ τα update metadata υπογράφονται πλέον ψηφιακά (XMLDSig).
- Σύσταση προς χρήστες, κατέβασμα και χειροκίνητη εγκατάσταση της τελευταίας έκδοσης από τις επίσημες σελίδες του Notepad++.
Τι συνέβη
Το Notepad++ δημοσιοποίησε ότι δέχθηκε στοχευμένη επίθεση στην αλυσίδα ενημερώσεων, με την υποδομή τρίτου παρόχου φιλοξενίας να αποτελεί το σημείο παραβίασης. Η επίθεση δεν βασίστηκε σε κενό ασφαλείας του ίδιου του editor, αλλά σε δυνατότητα ανακατεύθυνσης αιτημάτων ενημέρωσης, ώστε επιλεγμένοι χρήστες να οδηγούνται σε κακόβουλους servers.
Το πρακτικό ρίσκο σε τέτοιες περιπτώσεις δεν είναι “απλώς” η αλλοίωση ενός download, αλλά η "διάβρωση εμπιστοσύνης" στο update path. Σε desktop εφαρμογές, ο updater είναι από τα πιο κρίσιμα σημεία, γιατί λειτουργεί ως προνομιακός δίαυλος εγκατάστασης κώδικα.
Το χρονικό με ημερομηνίες
Η παραβίαση τοποθετείται χρονικά στον Ιούνιο 2025, όταν οι επιτιθέμενοι απέκτησαν πρόσβαση σε κοινόχρηστο server φιλοξενίας που σχετιζόταν με υποδομές του site. Στις 2 Σεπτεμβρίου 2025, προγραμματισμένη συντήρηση (αναβάθμιση kernel και firmware) διέκοψε την άμεση πρόσβασή τους στο συγκεκριμένο σύστημα.
Ωστόσο, η επίθεση συνεχίστηκε. Με βάση τη δημόσια ενημέρωση, οι δράστες είχαν ήδη αποσπάσει διαπιστευτήρια εσωτερικών υπηρεσιών, κάτι που τους επέτρεψε να διατηρήσουν τη δυνατότητα στοχευμένων ανακατευθύνσεων έως τις 2 Δεκεμβρίου 2025. Εκείνη την ημερομηνία ο πάροχος προχώρησε σε πλήρη διορθωτικά μέτρα, μαζί με rotation διαπιστευτηρίων και πρόσθετη σκλήρυνση.
“State-sponsored” και το θέμα της απόδοσης
Η φύση της επίθεσης και η επιμονή της οδήγησαν σε εκτιμήσεις για δράστες με κρατική υποστήριξη. Ορισμένα ρεπορτάζ αποδίδουν την ενέργεια σε κινεζικά, κρατικά συνδεδεμένα σχήματα, ωστόσο το ίδιο το project, στη δημόσια ανακοίνωσή του, κινείται με πιο προσεκτική διατύπωση και περιγράφει το πλαίσιο και τα τεχνικά ευρήματα χωρίς να “κλειδώνει” δημόσια, οριστική ταυτοποίηση χώρας.
Τι άλλαξε στον updater
Σε επίπεδο μετριασμού, το project αναφέρει μετεγκατάσταση υποδομών και αναβαθμίσεις στον WinGup (updater). Συγκεκριμένα, ενισχύθηκε η επαλήθευση πιστοποιητικών και ψηφιακών υπογραφών, ενώ τα αρχεία/metadata ενημέρωσης που σερβίρονται από τον διακομιστή υπογράφονται πλέον ψηφιακά (XMLDSig), ώστε να μειώνεται η πιθανότητα “σιωπηλής” αλλοίωσης του update flow.
Το project σημειώνει επίσης ότι η τεχνική διερεύνηση συνεχίζεται για να αποσαφηνιστεί πλήρως ο μηχανισμός του hijack, όμως το βασικό hardening έχει ήδη περάσει στις πρόσφατες εκδόσεις.
Τι να κάνουν οι χρήστες
Η πρακτική σύσταση είναι σαφής, κατέβασμα της τελευταίας έκδοσης από τις επίσημες σελίδες του Notepad++ και χειροκίνητη εγκατάσταση. Σε περιβάλλοντα οργανισμών, έχει νόημα να ελεγχθεί το update policy, το egress προς domains που σχετίζονται με updates και τυχόν indicators από endpoints που έκαναν ενημέρωση στο επίμαχο διάστημα.
Πηγές
- Notepad++ Hijacked by State-Sponsored Hackers, Notepad++ (News)
- Notepad++ v8.8.9 release: Vulnerability-fix, Notepad++ (News)
- Download Notepad++ v8.9.1, Notepad++ (Downloads)
- Notepad++ patches update chain after targeted compromise, The Register
- Notepad++ update feature hijacked for months, BleepingComputer
Recommended Comments
There are no comments to display.
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now