Взлом хостера позволил полгода подменять обновления Notepad++ зловредом

Разработчики редактора кода Notepad++ опубликовали итоги расследования целевой атаки, в ходе которой пользователи Windows на протяжении нескольких месяцев могли получать вредоносные исполняемые файлы вместо официальных обновлений. Как следует из отчёта проекта, злоумышленники действовали через взлом сервера, арендованного для хостинга инфраструктуры обновлений приложения.

Доступ к серверу был получен в июне прошлого года. Это позволило атакующим перехватывать трафик, направляемый на домен notepad-plus-plus.org, и выборочно перенаправлять его на источники с вредоносным кодом. При этом подмена осуществлялась не для всех пользователей, а лишь для определённой части аудитории, что усложнило обнаружение атаки на раннем этапе.

Распространению зловредов способствовала уязвимость в утилите WinGUp, отвечающей за загрузку и установку обновлений Notepad++. Проблема заключалась в некорректной проверке подлинности загружаемых файлов. Окончательно этот недостаток был устранён только в декабре с выходом версии 8.8.9.

После получения уведомления о компрометации хостинг-провайдер приступил к нейтрализации последствий. Скомпрометированное содержимое было перенесено на другой сервер, уязвимости закрыты, а все учётные данные, которые могли оказаться в распоряжении злоумышленников, заблокированы. Основные работы по восстановлению инфраструктуры завершились ко 2 декабря. Последние зафиксированные попытки использовать похищенные учётные записи для перенаправления трафика обновлений относятся к 10 ноября.

Эксперты, анализировавшие атаку, допускают, что за ней могли стоять структуры, связанные с правительством Китая. В качестве аргумента указывается избирательный характер распространения вредоносного кода. Для дополнительной защиты сайт Notepad++ был перенесён к другому хостинг-провайдеру, а в ближайшем релизе 8.9.2 планируется внедрение проверки XML-файлов сервера обновлений с использованием цифровой подписи XMLDSig.