آپدیت‌های Notepad++ بعد از نفوذ به هاست، کاربران را در معرض بدافزار قرار دادند

نسخه‌های جدید  Notepad++که در سال 2025 پس از نفوذ چند ماهه و مداوم به هاست (میزبان)ارائه شدند، کاربران را از طریق آپدیت‌ها در معرض بدافزار قرار دادند. در این حمله، هکرهای تحت حمایت دولت چین توانستند به سرورهای آپدیت دسترسی پیدا کنند و کاربران منتخب را به سمت فایل‌های مخرب هدایت کنند.

Notepad++ ابزاری سبک، رایگان و محبوب است که توسعه‌دهندگان، مدیران IT، دانشجویان و پژوهشگران امنیتی بدون تردید از آن استفاده می‌کنند. اعتماد گسترده کاربران، اهمیت و حساسیت این رخداد را دوچندان کرده است.

جزئیات نفوذ و نحوه حمله

در بیانیه رسمی Don Ho، توسعه دهنده Notepad++، مشخص شد که زیرساخت آپدیت نرم‌افزار از طریق هاست سابق در معرض نفوذ قرار گرفته است.

نکات کلیدی نفوذ:

• نفوذ به دلیل آسیب پذیری در کد Notepad++ نبود.
• هکرها با کنترل سطح هاست ترافیک آپدیت را رهگیری و کاربران منتخب را به سرورهای مخرب هدایت کردند.
• نفوذ از ژوئن 2025 آغاز شد و تا نوامبر 2025 ادامه داشت.
• حتی پس از به‌روزرسانی‌های کرنل و فریم‌ور در سپتامبر، هکرها با دسترسی به سرویس‌های داخلی، می‌توانستند پاسخ آپدیت‌ها را دستکاری کنند.
• حمله به طور خاص روی دامنه notepad-plus-plus.org انجام شد و دیگر کلاینت‌های هاست تحت تأثیر قرار نگرفتند.

محققان امنیتی که این حمله را بررسی کرده‌اند، معتقدند کمپین مذکور نشانه‌هایی از یک عملیات سایبری تحت حمایت دولت چین دارد. دقت و هدفمند بودن تغییر مسیرهای آپدیت نشان می‌دهد این حمله بیشتر به فعالیت گروه‌های تهدید پیشرفته (APT) شباهت دارد تا یک حمله بدافزاری معمولی.

دامنه نفوذ و تأثیرات احتمالی

• تعداد کاربران هدایت‌شده به سرور مخرب نامشخص است.
• انواع بدافزارهای توزیع‌شده هنوز عمومی نشده‌اند.

با توجه به گستردگی استفاده Notepad++ در محیط‌های شخصی، دانشگاه‌ها و سازمان‌ها، حتی تأثیر محدود نیز می‌توانست جدی باشد.

اقدامات اصلاحی Notepad++

• مهاجرت به هاست جدید
• تغییرات اساسی در تأیید آپدیت‌ها
• WinGUp از نسخه 8.9، امضاها و گواهی‌نامه‌ها را بررسی می‌کند.
• پاسخ‌های آپدیت با امضا دیجیتال XML ثبت می‌شوند.
• اجرای سخت‌گیرانه برای 9.2 برنامه‌ریزی شده است.

دیدگاه کارشناسان

به گفته Cassius Edison، مدیرعامل Closed Door Security: «این حمله نمونه‌ای از حملات زنجیره تأمین است و می‌تواند میلیون‌ها دستگاه را تحت تأثیر قرار دهد. اعتماد گسترده به Notepad++، ریسک این نفوذ را به طور قابل توجه افزایش می‌دهد. حتی اگر نرم‌افزار امن باشد، هکرها با دسترسی به زیرساخت آپدیت می‌توانند ماه‌ها کاربران را هدایت کنند.»

نکته: کاربران نباید تصور کنند به دلیل عدم مشاهده مشکل، تحت تاثیر قرار نگرفته‌اند. به‌روزرسانی منظم و مانیتورینگ عملکرد غیرمعمول سیستم‌ها ضروری است.

وضعیت فعلی و پیام به کاربران

توسعه دهنده Notepad++ به‌طور عمومی از کاربران عذرخواهی کرده و اذعان داشته که این رخداد کاملاً کنترل شده است. با اعمال تغییرات زیرساخت و اعتبارسنجی قوی‌تر سمت کلاینت، ریسک حملات مشابه کاهش یافته اما به‌طور کامل از بین نرفته است.

منابع: