Notepad++のアップデート処理に影響を与えた数カ月にわたるサプライチェーン攻撃は、ソフトウェアのコード上の欠陥ではなく、共有ホスティング基盤の侵害に関連していることが判明した。これは、外部のセキュリティ専門家とプロジェクトの元ホスティング事業者が関与する継続中の調査によるものだ。
開発者が2月2日に公開した 勧告によると、このインシデントでは、notepad-plus-plus.org向けのアップデート通信が攻撃者の管理下にあるサーバーへリダイレクトされたという。
一部のケースでは、内蔵アップデーターであるWinGUpを通じて更新をダウンロードしたユーザーに対し、侵害された実行ファイルを指し示す悪意あるマニフェストが配信された。この問題は、2025年12月のNotepad++ v8.8.9リリースと同時に初めて公に開示された。
攻撃はホスティング基盤を悪用
セキュリティアナリストは、攻撃者がホスティング事業者のレベルでアクセスを獲得し、Notepad++のアップデートエンドポイント宛ての通信を傍受・改ざんできるようになっていたと結論づけた。Notepad++のコードベース自体には脆弱性は確認されなかった。代わりに攻撃者は、旧バージョンのソフトウェアにおけるアップデートの完全性検証方法の弱点を悪用した。
「これは、国家支援のアクターにインフラレベルの侵害を実行する能力を与えた、懸念すべき攻撃だ」とTalionの脅威インテリジェンスアナリスト、Donnan Mallon氏は述べた。「これにより攻撃者は共有ホスティングサーバーへアクセスでき、notepad-plus-plus.org宛てのリクエストを傍受できた。」
複数の独立研究者によれば、攻撃者は同一サーバー上でホストされている他の顧客ではなく、Notepad++ドメインを選択的に標的にしていたという。この極めて焦点を絞った活動により、アナリストは脅威アクターが中国の国家支援グループである可能性が高いと評価している。
侵害は2025年6月に始まったとみられている。元ホスティング事業者が確認したログによると、攻撃者によるサーバーへの直接アクセスは、予定されていたカーネルおよびファームウェアの更新後である2025年9月2日に終了した。しかし、内部サービスに関連する認証情報は2025年12月2日まで露出したままであり、サーバーアクセスが失われた後も通信のリダイレクトが継続可能だった。
「これはサプライチェーンの侵害であり、OWASP Top 10のようなフレームワークでサプライチェーンリスクが引き続き最も影響の大きい課題の上位に位置づけられる理由を浮き彫りにしている」とCybaVerseのペネトレーションテストマネージャー、Michael Jepson氏はコメントした。「弱点はアプリケーションコードではなく、信頼の連鎖のより上位にあった。」
サプライチェーンセキュリティについて詳しく読む:精密さがソフトウェア・サプライチェーン攻撃の新たな定石に
ホスティング事業者は、他のサーバーでは同様の悪意あるパターンは見つからず、追加の顧客への影響もなかったと述べた。露出していた認証情報はすべてローテーションされ、脆弱性は修正され、さらなる悪用の試みは12月上旬までに遮断された。
翻訳元: https://www.infosecurity-magazine.com/news/notepad-update-hijacked/
