Notepad++ – przejęty mechanizm aktualizacji i ukierunkowany atak supply chain (czerwiec–grudzień 2025)

securitybeztabu.pl 2 dni temu

Wprowadzenie do problemu / definicja luki

Incydent związany z Notepad++ to klasyczny przykład ataku na łańcuch dostaw (software supply chain): napastnik nie musiał łamać samej aplikacji, tylko przejął (lub nadużył) infrastrukturę dystrybucji aktualizacji, aby podmienić/ podsunąć złośliwe pliki wybranym ofiarom. W tego typu scenariuszu zaufany kanał aktualizacji staje się „koniem trojańskim”, a kompromitacja bywa trudna do wykrycia, bo instalacja wygląda jak rutynowy update.

W kontekście Notepad++ krytyczne było to, iż komponent aktualizatora (WinGUp / GUP) w starszych wersjach miał słabszą weryfikację integralności, co w połączeniu z przejęciem ruchu/serwera pozwalało doprowadzić do uruchomienia arbitralnego instalatora. W bazie NVD opisano to jako podatność weryfikacji integralności aktualizacji dla wersji sprzed 8.8.9.

W skrócie

  • Okno kompromitacji: od ok. czerwca 2025 do 2 grudnia 2025 (wg informacji o zakończeniu remediacji i odcięciu aktywności).
  • Charakter ataku: selektywny – nie wszyscy użytkownicy dostawali złośliwe aktualizacje; wygląda to na kampanię ukierunkowaną.
  • Atrybucja (zewnętrzna): Rapid7 powiązał działania z grupą Lotus Blossom i opisał backdoora nazwanego Chrysalis.
  • Zalecenie minimum: aktualizacja do Notepad++ 8.8.9 lub nowszej oraz weryfikacja środowisk, w których Notepad++ aktualizował się w ww. okresie.

Kontekst / historia / powiązania

Z dostępnych opisów wynika, iż napastnicy uzyskali możliwość manipulowania ruchem/zasobami związanymi z aktualizacjami Notepad++ poprzez kompromitację infrastruktury hostingowej wykorzystywanej przez projekt. Reuters wskazuje, iż dostęp do serwera hostingowego (u dostawcy) trwał do 2 września 2025, a część poświadczeń do usług utrzymała się aż do 2 grudnia 2025.

Co ważne: to nie jest „zwykły malware drop na użytkowników Notepad++”, tylko przypadek, w którym narzędzie powszechne w IT/Dev mogło stać się elementem początkowego dostępu (initial access) w środowiskach firmowych — szczególnie jeżeli aktualizacje były wykonywane automatycznie i bez silnej walidacji.

Analiza techniczna / szczegóły luki

1. Mechanika: dlaczego aktualizacja mogła stać się wektorem ataku

NVD opisuje, iż w Notepad++ przed wersją 8.8.9 przy użyciu WinGUp (GUP) metadane aktualizacji i instalatory nie były kryptograficznie weryfikowane w sposób odporny na przechwycenie/przekierowanie ruchu. W efekcie, jeżeli atakujący potrafił przechwycić albo przekierować żądania aktualizacji, mógł doprowadzić do pobrania i uruchomienia kontrolowanego instalatora (RCE w kontekście użytkownika).

W praktyce „przekierowanie” mogło wyglądać jak:

  • manipulacja DNS/routingu lub reverse proxy na warstwie hostingu,
  • podstawienie mirrorów/endpointów aktualizacyjnych,
  • wstrzyknięcie innej paczki/instalatora w ścieżkę WinGUp.

2. Co wiemy o ładunku (Chrysalis) i łańcuchu wykonania

Rapid7 opisuje, iż w analizowanych przypadkach obserwowano sekwencję: uruchomienie notepad++.exe → GUP.exe → podejrzany proces update.exe pobrany z adresu IP 95.179.213.0.

W ich raporcie update.exe był instalatorem NSIS, który rozpakowywał komponenty i wykorzystywał m.in. techniki DLL sideloadingu (ładunek ładowany jako log.dll obok legalnie wyglądającego pliku), a następnie prowadził do uruchomienia backdoora nazwanego Chrysalis.

Jednocześnie media podkreślają, iż kampania była ukierunkowana (np. organizacje z interesami w Azji Wschodniej) i nie miała charakteru masowego robaka.

Praktyczne konsekwencje / ryzyko

Dla organizacji ryzyka są typowe dla udanego ataku supply chain:

  • Initial access w środowisku (w tym deweloperskim / administracyjnym), potencjalnie dalej eskalacja i lateral movement.
  • Trudniejsza detekcja, bo aktywność zaczyna się od zaufanego procesu aktualizacji.
  • Ryzyko wtórne: jeżeli Notepad++ był używany na hostach uprzywilejowanych (np. admin workstations), skutki rosną wykładniczo.

Warto też pamiętać o aspekcie „historycznym”: incydent dotyczył konkretnego okna czasowego (czerwiec–grudzień 2025), więc analiza powinna być nastawiona na retrospektywne polowanie (retro-hunt) w logach EDR/SIEM.

Rekomendacje operacyjne / co zrobić teraz

1. Szybkie działania (0–24h)

  1. Zidentyfikuj ekspozycję: lista hostów, na których Notepad++ aktualizował się automatycznie w okresie 06.2025–12.2025.
  2. Wymuś upgrade: co najmniej 8.8.9+ (najlepiej najnowsza dostępna wersja) oraz preferuj instalację z oficjalnych źródeł.
  3. Triage na stacjach roboczych:
    • sprawdź uruchomienia GUP.exe i ewentualne dziecko-procesy typu update.exe,
    • przeszukaj telemetrię pod kątem pobrań/wykonań update.exe oraz połączeń do znanych wskaźników z raportu Rapid7 (w tym IP wskazywanego jako źródło pobrania).

2. Threat hunting (1–7 dni)

  • Process tree: reguły wykrywające notepad++.exe → GUP.exe → update.exe (albo nietypowe instalatory uruchamiane z katalogów tymczasowych).
  • Artefakty w profilu użytkownika: tropy związane z instalatorem NSIS i katalogami w %AppData% (Rapid7 opisuje tworzenie ukrytych katalogów i umieszczanie tam plików ładunku).
  • Detekcje na techniki: DLL sideloading, nietypowe biblioteki ładowane z katalogów użytkownika, anomalie w usługach/persistencji.

3. Hardening „na przyszłość”

  • W środowiskach firmowych rozważ:
    • blokadę auto-update dla narzędzi niespełniających Twoich standardów walidacji,
    • allowlisting instalatorów i egzekwowanie podpisów,
    • politykę „updates przez repozytorium firmowe” (np. wewnętrzne mirrorowanie + weryfikacja hash/podpis).
  • Dodatkowo, jako ogólna praktyka odporności na supply chain, warto wdrożyć zalecenia dot. ochrony łańcucha dostaw oprogramowania.

Różnice / porównania z innymi przypadkami

W odróżnieniu od wielu masowych kampanii (np. zainfekowane cracki), tu najważniejsze są 3 elementy:

  1. Zaufany kanał dystrybucji (update) zamiast socjotechniki.
  2. Selektywna dystrybucja – sygnał operacji szpiegowskiej (mniej „szumu”, trudniej wykryć).
  3. Wektor infrastrukturalny (hosting/serwery/poświadczenia), co jest bliższe klasie incydentów typu „kompromitacja dostawcy” niż klasycznemu CVE w aplikacji.

Podsumowanie / najważniejsze wnioski

  • Jeśli Twoja organizacja używała Notepad++ i aktualizowała go automatycznie w okresie czerwiec–grudzień 2025, potraktuj to jako potencjalny wektor initial access i wykonaj retro-hunt.
  • Minimalny krok redukujący ryzyko to przejście na 8.8.9+, bo starsze wersje (z WinGUp) miały istotny problem z weryfikacją integralności aktualizacji.
  • Technicznie incydent pokazuje, iż choćby popularne narzędzia open-source mogą stać się „nośnikiem” kampanii APT, jeżeli łańcuch aktualizacji nie jest odporny na przejęcie infrastruktury.

Źródła / bibliografia

  1. Komunikat projektu Notepad++: „Hijacked incident info update”. (notepad-plus-plus.org)
  2. (Reuters) – Reuters: informacje o oknie czasowym, selektywności, hostingu i komentarzu CISA.
  3. (Rapid7) – Rapid7: analiza Chrysalis i szczegóły łańcucha wykonania / TTP.
  4. (NVD) – NVD: opis podatności weryfikacji integralności aktualizacji (WinGUp) dla wersji sprzed 8.8.9.
  5. (The Verge) – The Verge: ujęcie incydentu, selektywność i rekomendacje aktualizacji.
Idź do oryginalnego materiału
  1. Strona główna
  2. Serwisy SEC
  3. Notepad++ – przejęty mechanizm aktualizacji i ukierunkowany atak supply chain (czerwiec–grudzień 2025)

Powiązane

Windows 11 psuje usuwanie plików. To najgorszy możliwy moment

Windows 11 psuje usuwanie plików. To najgorszy możliwy momen...

2 godzin temu
Oszustwa w handlu elektroniką. Ponad tysiąc ofiar i 3 mln zł strat

Oszustwa w handlu elektroniką. Ponad tysiąc ofiar i 3 mln zł...

14 godzin temu
Amerykańskie służby wyłapują krytyków ICE

Amerykańskie służby wyłapują krytyków ICE

16 godzin temu
Czym jest Adversarial Exposure Validation i dlaczego to ważne?

Czym jest Adversarial Exposure Validation i dlaczego to ważn...

16 godzin temu
Zrobili z Facebooka maszynkę do kradzieży pieniędzy. Ofiarą mógł paść każdy

Zrobili z Facebooka maszynkę do kradzieży pieniędzy. Ofiarą ...

17 godzin temu
Każdy mógł zobaczyć, ile małpek kupujesz w Żabce

Każdy mógł zobaczyć, ile małpek kupujesz w Żabce

1 dzień temu
Coinbase potwierdza „insider breach” po wycieku zrzutów ekranu narzędzi wsparcia: dlaczego systemy supportu stają się celem Tier-0

Coinbase potwierdza „insider breach” po wycieku zrzutów ekra...

1 dzień temu
Darmowy poradnik rządu trafił na OLX. Polacy się popisali

Darmowy poradnik rządu trafił na OLX. Polacy się popisali

1 dzień temu
Miliony z rządowego programu. Najwięcej dla Policji. Ministerstwo Zdrowia ze skromnym wsparciem

Miliony z rządowego programu. Najwięcej dla Policji. Ministe...

1 dzień temu

Polecane

Dzwonu Pokoju i Przyjaźni Między Narodami przeszedł przegląd konserwatorski

Dzwonu Pokoju i Przyjaźni Między Narodami przeszedł przegląd...

1 tydzień temu
Nowy Targ. Dwa granaty odnalezione podczas prac budowlanych w Miejskiej Hali Lodowej

Nowy Targ. Dwa granaty odnalezione podczas prac budowlanych ...

1 tydzień temu
Fałszywy alarm bombowy na lotnisku w Krakowie-Balicach

Fałszywy alarm bombowy na lotnisku w Krakowie-Balicach

1 tydzień temu
Nie daj się oszukać metodą na podszywacza. Ogólnopolska kampania BLIK i polskiej Policji

Nie daj się oszukać metodą na podszywacza. Ogólnopolska kamp...

3 tygodni temu
Pomyłka z walizką i działania minersko-pirotechniczne na krakowskim lotnisku

Pomyłka z walizką i działania minersko-pirotechniczne na kra...

4 tygodni temu
RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

RUSZYŁ PROCES MADURO. DYKTATOR Z ŻONĄ USŁYSZELI ZARZUTY

1 miesiąc temu
Niewybuchy w lesie. Mieszkaniec powiadomił służby

Niewybuchy w lesie. Mieszkaniec powiadomił służby

1 miesiąc temu
Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Mazowieckim pułku saperów w Kazuniu

Delegacja ZOR RP wzięła udział w spotkaniu opłatkowym w 2 Ma...

1 miesiąc temu
One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię w Bondi

One Mitzvah for Bondi – akt dobroci w odpowiedzi na tragedię...

1 miesiąc temu