Notepad++, una dintre cele mai puternice, utile și foarte folosite aplicații de vizualiare/editare a textului pe platforma Windows a fost ținta unui atac complex, în urma căruia server-ele de update au fost compromise și s-au livrat pachete cu malware. Ca fost utilizator de Notepad++ informația asta conform căreia server-ele de update au fost deturnate pentru a livra malware, a fost un șoc puternic.
Datorită flexibilității și robusteții sale Notepad++ e (sau era?) instrumentul cel mai folosit de către toți dezvoltatorii de aplicații pe platforma Windows și cred că tocmai din acest motiv aplicația a fost și ținta celui mai nou atac. Din ce am citit pe site-ul aplicației, un atac complex (despre care se spune că aparține Violet Typhoon aka APT31, asociat cu China) a reușit să deturneze mecanismul de actualizare și să îl redirecționeze către servere ce conțineau pachete infectate.
Încă nu sunt cunoscute toate detaliile legate de acest incident, pare însă că atacul în sine a vizat firma de hosting și nu neapărat server-ele de update. Există deja o actualizare 8.8.9 pentru Notepad++ care a reparat problema de update – în sine a fost legată de faptul că autenticitatea pachetelor nu era verificată corect. Așa a fost posibil ca traficul să fie deturnat și să fie servite pachete modificate ce nu au fost detectate de aplicație ca având probleme.
Nasol este că incidentul a început undeva prin luna iunie 2025 și a stat nedetectat până de curând … adică mai bine de 6 luni. O perioadă foarte mare în care e posibil ca atacatorii să fi fost în poziția să injecteze malware în destul de de multe corporații … Umbla vorba că au picat victimă câteva firme de servicii de telecomunicații și financiare din zona Asiei.
Mă aștept ca în curând să apară și dezvăluiri legate de ce firme au fost atacate și cam care e impactul.
Oricum, mare atenție de acum încolo când vă actualizați aplicațiile!
