Fél évig tartó beavatkozás
A Notepad++ fejlesztője hivatalosan is megerősítette, hogy a frissítéseket kezelő szerver kompromittálódott. A támadók rövid megszakításokkal egészen decemberig fenn tudták tartani hozzáférésüket, mivel a szolgáltatói szerverhez szükséges hozzáférési adatok nem változtak. Szeptember elején, egy kernel- és firmware-frissítés idején ideiglenesen elveszítették a hozzáférést, de végül sikerült visszajutniuk a régi hitelesítő adatokkal. Csak december 2-án szűnt meg véglegesen a támadók jelenléte, amikor a szolgáltató felismerte és megszüntette a támadást.
Célzott támadás speciális eszközökkel
Több független IT-biztonsági szakértő szerint a támadást a Lotus Blossom nevű kínai APT-csoport (ismert még Raspberry Typhoon, Bilbug, Spring Dragon néven) hajtotta végre. Kifejezetten a Notepad++-t támadták, és egyedi hátsó ajtót (backdoort), a Chrysalis nevű kártevőt vetették be. Ez a program a jelek szerint komoly, tartós jelenlétet biztosított az áldozatok rendszereiben, bár konkrét bizonyítékot nem találtak arra, hogy a fertőzés minden frissítésen keresztül történt volna. Úgy tűnik, hogy csak bizonyos felhasználók voltak célpontok.
Intézkedések és megelőzés
A Notepad++ azóta új, biztonságosabb szolgáltatóhoz költözött, minden potenciálisan ellopott hozzáférést letiltottak, átvizsgálták a naplókat, és kijavították a hibákat. A legújabb, 8.8.9-es verzió óta minden letöltés kriptográfiailag ellenőrzött, a WinGUP frissítő eszköz már a tanúsítványokat és az aláírásokat is ellenőrzi.
Továbbra is javasolt a jelszavak, különösen az SSH-, az FTP/SFTP- és az MySQL-hitelesítő adatok cseréje, illetve a WordPress-adminisztrátorfiókok átvizsgálása, jelszócsere, valamint a felesleges felhasználók törlése. A WordPress és a bővítmények naprakészen tartása szintén alapvető.
Következésképpen
A Notepad++-t használók most már nagyobb biztonságban érezhetik magukat, azonban a támadás rávilágított arra, hogy mennyire sérülékenyek lehetnek még a legnépszerűbb, nyílt forráskódú alkalmazások is, ha a háttérben dolgozó infrastruktúrát támadás éri. Az új fejlesztéseknek és a szigorúbb ellenőrzésnek köszönhetően várhatóan csökken az efféle kockázat, de továbbra is érdemes óvatosnak lenni.
