Στο στόχαστρο κυβερνοεπίθεσης βρέθηκαν οι διακομιστές ενημερώσεων του Notepad++, με αποτέλεσμα χρήστες να ανακατευθύνονται σε κακόβουλους εξυπηρετητές και να λαμβάνουν μολυσμένες εκδόσεις του προγράμματος, αντί για τις επίσημες.
Ο δημιουργός του Notepad++ επιβεβαίωσε ότι μια στοχευμένη επίθεση, η οποία αποδίδεται πιθανότατα σε κινεζική κρατικά υποστηριζόμενη ομάδα απειλών, παραβίασε την παλαιότερη υποδομή φιλοξενίας του έργου για διάστημα έξι μηνών — από τον Ιούνιο έως τον Δεκέμβριο του 2025.
Οι επιτιθέμενοι κατάφεραν να παρεμβάλλονται στην κίνηση των ενημερώσεων και να ανακατευθύνουν επιλεκτικά συγκεκριμένους χρήστες σε κακόβουλους διακομιστές, εκμεταλλευόμενοι αδυναμία στον τρόπο με τον οποίο το λογισμικό επαλήθευε τα πακέτα ενημέρωσης πριν από την έκδοση 8.8.9.
Σύμφωνα με την ιατροδικαστική ανάλυση ανεξάρτητων ειδικών και του πρώην παρόχου φιλοξενίας, το περιστατικό δεν προήλθε από κενό ασφαλείας στον ίδιο τον κώδικα του Notepad++, αλλά από παραβίαση της κοινόχρηστης υποδομής φιλοξενίας.
Οι δράστες απέκτησαν πρόσβαση στον shared server και μπορούσαν να παρεμβαίνουν σε αιτήματα προς το domain notepad-plus-plus.org.
Στο στόχαστρο βρέθηκε το script getDownloadUrl.php, που χρησιμοποιεί ο μηχανισμός ενημερώσεων. Ελέγχοντας αυτό το σημείο, οι επιτιθέμενοι ανακατεύθυναν επιλεγμένους χρήστες σε servers που φιλοξενούσαν κακόβουλα εκτελέσιμα αρχεία.
Το πρόβλημα εντοπιζόταν κυρίως στις παλαιότερες εκδόσεις του updater (WinGUp), οι οποίες δεν επέβαλλαν αυστηρό έλεγχο ψηφιακής υπογραφής και πιστοποιητικών, επιτρέποντας την εγκατάσταση μη αυθεντικών αρχείων.
Αρκετοί ερευνητές εκτιμούν ότι πρόκειται για κρατικά υποστηριζόμενη κινεζική ομάδα, με εξαιρετικά στοχευμένη δράση.
Η επίθεση δεν ήταν μαζική, αλλά επικεντρώθηκε σε συγκεκριμένους χρήστες — χαρακτηριστικό επιχειρήσεων κατασκοπείας και όχι απλής κυβερνοεγκληματικότητας.
Ιούνιος 2025 – Αρχική παραβίαση του server
2 Σεπτεμβρίου 2025 – Διακοπή άμεσης πρόσβασης λόγω συντήρησης
Σεπτέμβριος–Δεκέμβριος – Διατήρηση πρόσβασης μέσω κλεμμένων διαπιστευτηρίων
10 Νοεμβρίου – Εκτιμώμενη παύση επιθέσεων
2 Δεκεμβρίου – Οριστικός αποκλεισμός δραστών
9 Δεκεμβρίου – Κυκλοφορία έκδοσης 8.8.9 με ενισχυμένα μέτρα ασφαλείας
Ο πάροχος επιβεβαίωσε ότι μόνο το Notepad++ στοχοποιήθηκε, χωρίς να επηρεαστούν άλλοι πελάτες.
Η έκδοση 8.8.9 εισάγει:
Επιπλέον, το έργο υιοθετεί το πρότυπο XMLDSig (ψηφιακή υπογραφή XML) ώστε να υπογράφονται κρυπτογραφικά τα manifests των ενημερώσεων.
Η λειτουργία θα γίνει υποχρεωτική στην έκδοση 8.9.2.
Περισσότερες ειδήσεις
«Σκιώδες AI» στα γραφεία – Εργαζόμενοι παρακάμπτουν το IT και… εκθέτουν εταιρικά στοιχεία
Ransomware + AI: Ο νέος εφιάλτης για την κυβερνοασφάλεια στα εταιρικά δίκτυα
Antivirus ή (και) VPN; Ο πλήρης οδηγός για την ασφάλεια στον κυβερνοχώρο
