Infrastruktura koja isporučuje ažuriranja za Notepad++, popularni uređivač teksta za Windows, bila je kompromitirana tijekom šest mjeseci od strane sumnjivih hakera povezanih s kineskom vladom. Tijekom tog razdoblja, napadači su iskoristili svoju kontrolu kako bi isporučili verzije aplikacije s bekdoorom odabranim ciljevima, objavili su developeri u ponedjeljak.
„Duboko se ispričavam svim korisnicima koji su pogođeni ovom otmicom,“ napisao je autor objave na službenoj stranici notepad-plus-plus.org. U objavi se navodi da je napad započeo u lipnju prošle godine, s „kompromitiranjem infrastrukture koje je omogućilo zlonamjernim akterima da presretnu i preusmjere promet ažuriranja namijenjen notepad-plus-plus.org.“ Napadači su zatim selektivno preusmjeravali određene ciljne korisnike na zlonamjerne servere za ažuriranje gdje su primali verzije s bekdoorom. Notepad++ nije ponovno preuzeo kontrolu nad svojom infrastrukturom sve do prosinca.
Napadači su iskoristili svoj pristup za instalaciju novog payloada nazvanog Chrysalis, kojeg sigurnosna tvrtka Rapid7 opisuje kao „prilagođeni, bogati bekdoor.” „Njegov široki spektar mogućnosti ukazuje na to da je to sofisticirani i trajni alat, a ne jednostavna korisna alatka,“ rekli su istraživači iz tvrtke.
Notepad++ je objavio da su službenici neimenovanog pružatelja usluga koji hosta infrastrukturu za ažuriranje konzultirali s timovima za odgovor na incidente i otkrili da je infrastruktura ostala kompromitirana sve do 2. rujna. Čak i tada, napadači su zadržali vjerodajnice za interne usluge sve do 2. prosinca, što im je omogućilo da nastave preusmjeravati odabrani promet ažuriranja na zlonamjerne servere. „Specifično su ciljali domenu Notepad++ s ciljem iskorištavanja nedovoljnih kontrola verifikacije ažuriranja koje su postojale u starijim verzijama Notepad++.”
Prema neovisnom istraživaču Kevinu Beaumontu, tri organizacije su mu rekle da su uređaji unutar njihovih mreža koji su imali instaliran Notepad++ doživjeli „sigurnosne incidente” koji su „rezultirali hakerima koji su preuzeli kontrolu putem tipkovnice,” što znači da su hakeri mogli preuzeti izravnu kontrolu koristeći web sučelje.
Beaumont je objasnio da su njegove sumnje porasle kada je verzija Notepad++ 8.8.8 u sredini studenog uvela ispravke grešaka kako bi „učvrstila Notepad++ ažuriranje od otmice za isporuku nečega… što nije Notepad++.” Ažuriranje je napravilo promjene na prilagođenom Notepad++ ažuriranju poznatom kao GUP, odnosno WinGUP. Izvršna datoteka gup.exe odgovorna je za izvještavanje o verziji u upotrebi i preuzima URL za ažuriranje iz datoteke pod nazivom gup.xml.
Beaumont je upozorio da su pretraživači preplavljeni oglasima koji potiču trojanske verzije Notepad++ koje mnogi korisnici nesvjesno pokreću unutar svojih mreža. Preporučio je da svi korisnici osiguraju da koriste službenu verziju 8.8.8 ili noviju, instaliranu ručno s notepad-plus-plus.org.
