Notepad++の開発者は本日公開した公式発表で、昨年ほぼ半年にわたって続いたNotepad++の更新トラフィックの乗っ取りは、中国の国家支援を受けた脅威アクターによる可能性が高いと述べた。
攻撃者は特定ユーザーからの更新リクエストを傍受し、選別して悪意あるサーバーへリダイレクトした。Notepad++の更新検証コントロールにあるセキュリティ上の隙を突き、改ざんされた更新マニフェストを配信していた。
更新機能のホスティングプロバイダーによる声明では、ログから攻撃者がNotepad++の更新アプリケーションを提供するサーバーを侵害したことが示されていると説明している。
調査を支援した外部のセキュリティ専門家は、攻撃が2025年6月に開始したことを突き止めた。開発者によれば、侵害は標的範囲が限定的で、攻撃者のインフラへリダイレクトされたのは特定のユーザーのみだった。
「複数の独立したセキュリティ研究者が、脅威アクターは中国の国家支援グループである可能性が高いと評価しており、これはキャンペーン中に観測された極めて選別的な標的化を説明するものです」と、Notepad++の発表には記されている。
「攻撃者は、旧バージョンのNotepad++に存在していた不十分な更新検証コントロールを悪用することを目的として、Notepad++のドメインを特に標的にしました。」
12月、Notepad++は、複数の研究者がアップデーターが正規のものではなく悪意あるパッケージを受け取る可能性があると報告したことを受け、WinGUp更新ツールのセキュリティ上の弱点に対処するためにバージョン8.8.9をリリースした。
セキュリティ研究者のKevin Beaumontは、少なくとも3つの組織がこれらの更新乗っ取りの影響を受けており、その後ネットワーク上で実地の偵察活動が行われたことを把握していると警告していた。
Notepad++はテキストおよびソースコード向けの無料・オープンソースのエディターで、Windows上で人気の高いツールであり、世界中で数千万人のユーザーがいる。
開発者は今回、2025年6月にソフトウェアのホスティングプロバイダーが侵害され、攻撃者が標的型のトラフィックリダイレクトを実行できるようになったことで攻撃が発生したと説明している。
9月上旬、サーバーのカーネルとファームウェアが更新されたことで、攻撃者は一時的にアクセスを失った。しかし、変更されていなかった、以前に入手した内部サービスの認証情報を用いて、脅威アクターは足場を取り戻すことができた。
これは2025年12月2日まで続き、ホスティングプロバイダーが最終的に侵害を検知して攻撃者のアクセスを遮断した。
Notepad++はその後、より強固なセキュリティを備えた新しいホスティングプロバイダーへ全クライアントを移行し、攻撃者に盗まれた可能性のあるすべての認証情報をローテーションし、悪用された脆弱性を修正し、悪意ある活動が停止したことを確認するためにログを徹底的に分析した。
Notepad++ユーザーには、セキュリティ強化のために以下の対応が推奨されている。
- SSH、FTP/SFTP、MySQLの認証情報を変更する
- WordPressの管理者アカウントを確認し、パスワードをリセットし、不要なユーザーを削除する
- WordPress本体、プラグイン、テーマを更新し、可能であれば自動更新を有効にする
Notepad++バージョン8.8.9以降では、WinGupがインストーラーの証明書と署名を検証し、更新XMLは暗号学的に署名されている。
開発者はまた、約1か月後のリリースが見込まれるバージョン8.9.2で、証明書署名検証を必須として強制する計画だと述べた。
BleepingComputerは、侵害の痕跡(IoC)や、ユーザーが影響を受けたかどうかを判断するのに役立つその他の情報について開発者に問い合わせたが、公開時点までに回答は得られなかった。
