人気テキストエディタNotepad++のソフトウェア更新メカニズムが、中国の国家支援が疑われるハッカーによって乗っ取られ、一部ユーザーを悪意ある更新サーバーへ密かにリダイレクトできる状態になっていたと、同プロジェクトの開発者が月曜日に発表した。
プロジェクトのウェブサイトに掲載されたセキュリティ更新で、開発チームは、この攻撃がエディタ自体のソースコードの欠陥を悪用したものではないと述べた。代わりに、侵害はインフラレベルで発生し、ソフトウェア更新の配信に用いられるシステムが関与していたという。
攻撃者は「notepad-plus-plus.org宛ての更新トラフィックを傍受してリダイレクトできた」とチームは述べ、「正確な技術的メカニズムは引き続き調査中だ」と付け加えた。
Notepad++は、技術者に広く利用されている無料のオープンソースエディタで、世界中に数百万人のユーザーがいる。この事件は、確立されたオープンソースプロジェクトであっても、ソフトウェア・サプライチェーンの安全性に関する懸念が続いていることを浮き彫りにしている。
ソースコードリポジトリの改ざんを伴う多くのサプライチェーン攻撃とは異なり、Notepad++の事件は、ユーザーのコンピュータを出た後、正規の更新サーバーに到達する前のネットワークトラフィックをリダイレクトすることに依存していた。
このような「オンパス」攻撃は検知が難しく、特に影響が限られたユーザーにのみ及ぶ場合、フォレンジック上の証拠がほとんど残らない可能性がある。
同様の手口は過去の事件でも観測されている。2018年には、研究者がShadowHammerキャンペーンと呼んだ事案で、ハッカーがASUSの更新配信インフラを侵害した。サイバーセキュリティ企業SentinelOneが指摘したように、悪意ある更新は数十万台に及ぶ可能性のあるシステムへ配布されたものの、攻撃者が関心を示していたのは数百の特定ターゲットだけだったようだ。
Notepad++の開発者は、自分たちの事件も同様のパターンに従っており、更新トラフィックは広範に展開されるのではなく、特定のユーザーに対して「選択的にリダイレクト」されたと述べた。チームは、このキャンペーンは大規模攻撃ではなく、すべてのユーザーに影響したわけではないと強調したが、最終的に何台が標的となったかは明らかにしなかった。
開発者によれば、この乗っ取りは2025年6月に始まり、12月まで続いたという。複数の独立したセキュリティ研究者による評価を引用し、この活動は中国の国家支援型脅威アクターに関連している可能性が高いと結論づけられたとしたが、研究者やその手法は公表されていない。
この種の帰属は通常、直接的証拠ではなく、インフラの再利用、標的化の振る舞い、運用上の特徴などに基づいて行われ、決定的に検証することは依然として難しい。
開発者は、その後プロジェクトの更新インフラを新しいホスティング事業者へ移行し、更新メカニズムを強化するためにバージョン8.9.1で追加のセキュリティ制御を導入したと述べた。予防措置としてアップグレードするようユーザーに呼びかけている。
「この乗っ取りの影響を受けたすべてのユーザーに深くお詫びします」と、セキュリティ告知の筆者は記した。
翻訳元: https://therecord.media/popular-text-editor-hijacked-by-suspected-state-sponsored-hackers
