Notepad++は、国家支援の脅威アクターが6か月にわたるキャンペーンで更新インフラを侵害したことにより、高度なサプライチェーン攻撃の被害に遭いました。
セキュリティ専門家は、極めて選別された標的設定と、インシデント全体を通じて示された技術的高度さに基づき、この攻撃を中国の国家支援グループによるものと結論づけています。
攻撃のタイムラインと範囲
侵害は2025年6月に始まり、脅威アクターがNotepad++の更新管理システムをホストしていた共有ホスティングサーバーへのアクセスを獲得しました。
ホスティングプロバイダーの調査によると、攻撃者は2025年9月2日まで永続的なアクセスを維持していましたが、予定されていたカーネルおよびファームウェア更新によって直接接続が遮断されました。
しかし攻撃者は、盗まれた認証情報を用いて内部サービスへのアクセスを保持し、2025年12月2日まで更新トラフィックを傍受・改ざんできる能力を延長しました。
無差別にマルウェアを配布するのではなく、攻撃者は精密な標的化を用い、特定ユーザーからの更新リクエストのみを攻撃者が管理するサーバーへ選択的にリダイレクトし、悪意あるインストーラーパッケージを配布しました。
さらに見る
エクスプロイト緩和ソリューション
クラウドセキュリティソリューション
セキュリティツール
この洗練された手法は国家レベルの能力を示しており、旧バージョンにおけるNotepad++の更新検証の弱点を把握していた可能性を示唆します。
この攻撃は、Notepad++の更新メカニズムにおける暗号学的検証の不十分さを悪用しました。
ホスティングプロバイダーのログから、攻撃者がNotepad++のドメインを特に検索していたことが判明しており、アプリケーションのセキュリティ状況に関する事前偵察が行われていたことを示しています。
攻撃者はNotepad++のコード上の脆弱性を突くのではなく、インフラレベルの侵害を利用し、getDownloadUrl.phpエンドポイントを操作して悪意あるダウンロードURLを返せるようにしました。
注目すべき点として、プロバイダーは侵害されたサーバー上で二次被害者の証拠を見つけられず、この作戦の唯一の標的がNotepad++であったことが確認されました。
Notepad++は、強化されたセキュリティアーキテクチャを備えた新しいホスティングプロバイダーへ移行することで、断固として対応しました。
WinGupアップデーターはv8.8.9で強化され、証明書とインストーラー署名の両方を検証するようになりました。
さらに、更新サーバーからのすべてのXML応答は現在、XMLDSig標準を用いてデジタル署名されており、必須の検証強制はv8.9.2で開始される予定で、1か月以内の提供が見込まれています。
ホスティングプロバイダーは、既知の弱点の悪用を防ぐため、全サービスにわたる認証情報のローテーションや脆弱性パッチ適用など、包括的なハードニング対策を実施しました。
このインシデントは、ソフトウェア配布エコシステムに対してサプライチェーン攻撃がもたらす持続的な脅威を浮き彫りにし、更新メカニズムにおける暗号学的検証の重要性を強調しています。
翻訳元: https://gbhackers.com/notepad-users-targeted/
