Kártékony frissítő, adatgyűjtés és adattovábbítás
Ez azonban csak a jéghegy csúcsa volt. Az AutoUpdater.exe nemcsak a rendszer állapotát (például futó folyamatokat, hálózati kapcsolatokat) térképezte fel, hanem ezeket az adatokat egy szöveges fájlba gyűjtötte, majd a curl segítségével továbbította a temp[.]sh címre, amelyet korábban is használtak már rosszindulatú támadások során. A vizsgálatok alapján valószínűsíthető, hogy vagy egy nem eredeti, manipulált Notepad++-változat okozta a problémát, vagy a frissítési forgalmat sikerült eltéríteni.
Gyors lépések és erősebb védelem
A fejlesztők először úgy próbálták megfékezni a támadások lehetőségét, hogy a 8.8.8-as verziótól kezdve kizárólag a GitHubról engedték letölteni a frissítéseket. December 9-től azonban a 8.8.9-es változat már azt is ellenőrzi, hogy valóban a hivatalos fejlesztő által aláírt telepítőcsomagról van-e szó. Ha az ellenőrzés nem sikerül, a frissítés megszakad, így megakadályozva a további támadásokat.
Célzott támadások, ismeretlen módszer
Néhány hete Kevin Beaumont biztonsági szakértő is figyelmeztetett erre a veszélyre, mivel több, főleg kelet-ázsiai érdekeltségű szervezetnél jelentkeztek kézzel vezérelt támadások Notepad++-os gépekkel szemben. Itt is rendszerinformációkat gyűjtöttek ki, és valószínű, hogy a támadók a frissítési folyamatot használták ki. A Notepad++ kommunikációja során a letöltési URL könnyen módosítható volt – ha egy támadó el tudta téríteni a kapcsolatot, bármilyen kártékony telepítőt rá tudott küldeni a felhasználóra.
Minden felhasználóra veszélyes lehet
A fejlesztők jelenleg is vizsgálják, pontosan hogyan sikerült eltéríteni a frissítési forgalmat, de mindenkit arra kérnek, hogy azonnal frissítsen a 8.8.9-es verzióra. Fontos még, hogy már a 8.8.7-es kiadás óta minden hivatalos telepítő hitelesített, így az ennél régebbi, nem hivatalos tanúsítvánnyal aláírt verziókat is le kell cserélni.
