Notepad++は月曜日、2025年12月に明らかになったサプライチェーン攻撃に関する追加の詳細を共有し、中国政府の支援を受けている可能性が高い脅威アクターが、同社のホスティングプロバイダーを通じて一部の顧客を標的にしたと述べた。
このインシデントのニュースは、無料のソースコードエディターであるNotepad++のアップデーターが乗っ取られるのを防ぐための更新をNotepad++が公開した後に報じられた。
セキュリティ研究者のKevin Beaumontは12月初旬、Notepad++を使用している少数の組織が悪意のあるソフトウェア更新の標的になったと報告した。
研究者は当時、中国と関連するハッカーがNotepad++を悪用し、東アジアの通信事業者および金融サービス企業のシステムへの初期アクセスを得たと述べた。
Notepad++の作成者でありメンテナーであるDon Hoは、外部のセキュリティ専門家および攻撃当時にサービスが利用されていた共有ホスティングプロバイダーと協力して実施した調査結果を、今回公表した。
「セキュリティ専門家から提供された分析によれば、この攻撃はインフラレベルの侵害を伴い、悪意ある行為者がnotepad-plus-plus.org宛ての更新トラフィックを傍受してリダイレクトできるようになっていた」とHoは説明した。
彼はさらに、「正確な技術的メカニズムは引き続き調査中だが、侵害はNotepad++のコード自体の脆弱性ではなく、ホスティングプロバイダーのレベルで発生した。特定の標的ユーザーからのトラフィックが選択的に攻撃者管理下のサーバーへリダイレクトされ、悪意のある更新マニフェストが配信された」と付け加えた。
「複数の独立したセキュリティ研究者が、脅威アクターは中国の国家支援グループである可能性が高いと評価しており、これはキャンペーン中に観測された極めて選択的な標的化を説明するものだ」とHoは指摘した。
ホスティングプロバイダーの調査で収集された情報により、攻撃者がNotepad++のユーザーのトラフィックを傍受するために、Notepad++を特に標的としていたことが明らかになった。プロバイダーは、共有サーバー上の他の顧客が標的にされた証拠は見つからなかった。
攻撃は2025年6月に開始したようで、ホスティング企業は、ハッカーに狙われたサーバーが9月2日まで侵害されていたと判断した。この日、システムは定期メンテナンスを受け、カーネルとファームウェアが更新された。
それでも、9月以前に攻撃者が入手した認証情報により、彼らは12月2日までホスティングプロバイダーの内部サービスへのアクセスを維持できた。この期間中、脅威アクターはNotepad++の更新サーバーに向かうトラフィックを自らのサーバーへ誘導し、マルウェアを配布することができた。
Notepad++はその後、新しいホスティングプロバイダーへ移行し、更新の完全性を検証するためのクライアント側の変更を実装した。
翻訳元: https://www.securityweek.com/notepad-supply-chain-hack-conducted-by-china-via-hosting-provider/
