Az új Notepad++-verzió véget vet a kártékony frissítéseknek

Kártékony frissítő, adatgyűjtés és adattovábbítás

Ez azonban csak a jéghegy csúcsa volt. Az AutoUpdater.exe nemcsak a rendszer állapotát (például futó folyamatokat, hálózati kapcsolatokat) térképezte fel, hanem ezeket az adatokat egy szöveges fájlba gyűjtötte, majd a curl segítségével továbbította a temp[.]sh címre, amelyet korábban is használtak már rosszindulatú támadások során. A vizsgálatok alapján valószínűsíthető, hogy vagy egy nem eredeti, manipulált Notepad++-változat okozta a problémát, vagy a frissítési forgalmat sikerült eltéríteni.

Gyors lépések és erősebb védelem

A fejlesztők először úgy próbálták megfékezni a támadások lehetőségét, hogy a 8.8.8-as verziótól kezdve kizárólag a GitHubról engedték letölteni a frissítéseket. December 9-től azonban a 8.8.9-es változat már azt is ellenőrzi, hogy valóban a hivatalos fejlesztő által aláírt telepítőcsomagról van-e szó. Ha az ellenőrzés nem sikerül, a frissítés megszakad, így megakadályozva a további támadásokat.

Célzott támadások, ismeretlen módszer

Néhány hete Kevin Beaumont biztonsági szakértő is figyelmeztetett erre a veszélyre, mivel több, főleg kelet-ázsiai érdekeltségű szervezetnél jelentkeztek kézzel vezérelt támadások Notepad++-os gépekkel szemben. Itt is rendszerinformációkat gyűjtöttek ki, és valószínű, hogy a támadók a frissítési folyamatot használták ki. A Notepad++ kommunikációja során a letöltési URL könnyen módosítható volt – ha egy támadó el tudta téríteni a kapcsolatot, bármilyen kártékony telepítőt rá tudott küldeni a felhasználóra.

Minden felhasználóra veszélyes lehet

A fejlesztők jelenleg is vizsgálják, pontosan hogyan sikerült eltéríteni a frissítési forgalmat, de mindenkit arra kérnek, hogy azonnal frissítsen a 8.8.9-es verzióra. Fontos még, hogy már a 8.8.7-es kiadás óta minden hivatalos telepítő hitelesített, így az ennél régebbi, nem hivatalos tanúsítvánnyal aláírt verziókat is le kell cserélni.

2025, adminboss, www.bleepingcomputer.com alapján