Китайская APT-группа эксплуатирует цепочку поставок Notepad++ в целевой атаке
Китайские хакеры, спонсируемые государством, скомпрометировали инфраструктуру обновлений Notepad++ в сложной атаке на цепочку поставок. Узнайте о технических деталях и мерах защиты.
Китайская APT-группа эксплуатирует цепочку поставок Notepad++ в целевой атаке
Китайская хакерская группа, спонсируемая государством, скомпрометировала инфраструктуру обновлений текстового редактора Notepad++ в рамках изощрённой атаки на цепочку поставок. Злоумышленники распространяли троянизированные версии популярного ПО среди избранных целей. Нарушение безопасности сохранялось почти шесть месяцев, а доступ к внутренним сервисам атакующие удерживали ещё три месяца после первых попыток устранения угрозы.
Технические детали
Атака эксплуатировала недостаточные механизмы проверки обновлений в старых версиях Notepad++. По данным специалистов, расследовавших инцидент:
- Инфраструктура неназванного хостинг-провайдера оставалась скомпрометированной до 2 сентября 2025 года
- Злоумышленники сохраняли учётные данные для доступа к внутренним сервисам до 2 декабря 2025 года, что позволяло перенаправлять трафик обновлений на вредоносные серверы
- В журналах событий зафиксированы попытки повторной эксплуатации уязвимостей после установки патчей
- Угрожающая группа целенаправленно атаковала домен Notepad++, чтобы обойти устаревшие механизмы проверки обновлений
Представители Notepad++ подтвердили, что уязвимыми к этой атаке на цепочку поставок являются только версии до 8.9.1. Компания не раскрыла общее число пострадавших пользователей, но подчеркнула, что атака носила «узконаправленный» характер, а не массовый.
Анализ последствий
Этот инцидент демонстрирует растущую изощрённость атак на цепочку поставок со стороны продвинутых постоянных угроз (APT). Основные риски включают:
- Выборочное нацеливание: атакующие могли доставлять вредоносное ПО конкретным организациям или лицам, сохраняя легитимные обновления для остальных
- Долгосрочное присутствие: шестимесячное окно компрометации позволило провести масштабную разведку и доставку полезной нагрузки
- Перехват обновлений: возможность перенаправлять трафик обновлений даже после первоначального устранения угрозы подчёркивает сложность полной защиты каналов распространения ПО
Рекомендации
Командам по информационной безопасности следует:
- Немедленно проверить, что все установки Notepad++ обновлены до версии 8.9.1 или новее
- Провести аудит систем на предмет признаков компрометации, особенно работающих на старых версиях
- Проанализировать механизмы обновлений другого критически важного ПО для выявления аналогичных уязвимостей в проверке
- Мониторить необычное поведение обновлений, такое как неожиданные перенаправления или изменения сертификатов
- Внедрить проверку цифровых подписей для всех обновлений ПО в качестве меры глубокой защиты
Команда Notepad++ не опубликовала конкретные индикаторы компрометации (IOC), но рекомендует организациям относиться к любому неожиданному поведению обновлений как к потенциально вредоносному.