37 подписчиков

Обновления Notepad++ заражает компьютеры

6 февраля6 фев

2 мин

Популярный редактор кода Notepad++ оказался в центре тихого, но очень показательного инцидента. На протяжении нескольких месяцев часть пользователей Windows устанавливала вредоносный код вместо официальных обновлений — и не подозревала об этом. Причина оказалась банальной и одновременно тревожной:

был взломан сервер обновлений проекта. Доступ к арендованному серверу, через который распространялись обновления Notepad++, злоумышленники получили ещё в июне прошлого года. После этого они начали перехватывать трафик, направляемый на официальный домен проекта, и выборочно перенаправлять пользователей на источники с вредоносными файлами. Ключевое слово здесь — выборочно. Заражённые обновления получали не все, а лишь часть пользователей. Именно поэтому атака долго оставалась незамеченной и не вызывала массовых жалоб. Ситуацию усугубила уязвимость в утилите WinGUp — компоненте, отвечающем за загрузку и установку обновлений Notepad++. Она некорректно проверяла подлинность загружаемых файлов.

Оглавление

Как это вообще стало возможным
Обновление, которое выглядело как настоящее
Что произошло после обнаружения

Популярный редактор кода Notepad++ оказался в центре тихого, но очень показательного инцидента.

На протяжении нескольких месяцев часть пользователей Windows устанавливала вредоносный код вместо официальных обновлений — и не подозревала об этом.

Причина оказалась банальной и одновременно тревожной:

был взломан сервер обновлений проекта.

Как это вообще стало возможным

Доступ к арендованному серверу, через который распространялись обновления Notepad++, злоумышленники получили ещё в июне прошлого года.

После этого они начали перехватывать трафик, направляемый на официальный домен проекта, и выборочно перенаправлять пользователей на источники с вредоносными файлами.

Ключевое слово здесь — выборочно.

Заражённые обновления получали не все, а лишь часть пользователей. Именно поэтому атака долго оставалась незамеченной и не вызывала массовых жалоб.

Обновление, которое выглядело как настоящее

Ситуацию усугубила уязвимость в утилите WinGUp — компоненте, отвечающем за загрузку и установку обновлений Notepad++.

Она некорректно проверяла подлинность загружаемых файлов.

В результате вредоносные исполняемые файлы принимались системой как легитимные.

Проще говоря, пользователь видел обычное обновление — и устанавливал его, не подозревая подвоха.

Полностью закрыть эту проблему удалось только в декабре, с выходом версии 8.8.9.

Что произошло после обнаружения

После уведомления о компрометации хостинг-провайдер начал экстренные работы:

заражённое содержимое перенесли на другой сервер
уязвимости закрыли
все учётные данные, которые могли попасть к злоумышленникам, заблокировали

Основное восстановление инфраструктуры завершилось ко 2 декабря.

Последние попытки использовать украденные данные для подмены обновлений зафиксированы ещё 10 ноября.

Кто мог стоять за атакой

Эксперты не исключают, что атака была целенаправленной.

Избирательный характер распространения вредоносного кода наводит на мысль о возможной связи с структурами, аффилированными с правительством Китая.

Официального подтверждения этому нет, но именно такой почерк часто встречается в сложных целевых операциях.

Что изменится дальше

Для усиления защиты сайт Notepad++ был перенесён к другому хостинг-провайдеру.

Кроме того, в версии 8.9.2 планируется внедрение проверки XML-файлов сервера обновлений с использованием цифровой подписи XMLDSig.

Почему эта история важна не только программистам

Этот случай — напоминание:

даже знакомое и проверенное программное обеспечение может стать точкой входа для атаки, если взламывается инфраструктура вокруг него.

Самое тревожное здесь даже не сам взлом, а то, как долго он оставался незаметным.

И в таких ситуациях мысль возникает одна и та же:

что-то идёт не так.

А вы обращаете внимание, откуда и как обновляются программы на вашем компьютере?