Хакеры полгода подменяли обновления Notepad++ вредоносным ПО через взломанный сервер

Разработчики популярного редактора кода Notepad++ раскрыли детали масштабной кибератаки, в ходе которой пользователи Windows получали заражённые исполняемые файлы вместо официальных обновлений. Атака была организована через взлом хостинг-сервера, используемого проектом для распространения апдейтов.

Злоумышленники получили доступ к серверу в июне прошлого года, что позволило им выборочно перенаправлять трафик на источники с вредоносным кодом. Выборочная раздача заражённых файлов, по мнению экспертов, говорит о тщательно спланированной операции, направленной на конкретных пользователей Notepad++.

Причиной успешной подмены обновлений стала уязвимость в утилите WinGUp, отвечавшей за доставку апдейтов. Программа некорректно проверяла подпись загружаемых файлов, что дало хакерам возможность внедрить вредоносный код. Разработчики закрыли эту брешь только к декабрю, выпустив обновление версии 8.8.9.

Хостинг-провайдер также принял срочные меры: перенёс содержимое на новый сервер, устранил все выявленные дыры безопасности и заблокировал скомпрометированные учётные записи. Завершение «спасательных работ» было зафиксировано 2 декабря, а последние попытки злоумышленников использовать украденные учётные данные произошли 10 ноября.

По оценке экспертов, за атакой могут стоять государственные структуры Китая — косвенным подтверждением этому считается избирательное распространение вредоносных файлов. В целях усиления безопасности сайт Notepad++ был переведён на другого провайдера, а в будущем релизе версии 8.9.2 планируется внедрить дополнительную защиту: проверку XML-файлов обновлений на наличие цифровой подписи XMLDSig.


Автор: Павлова Ольга
Источник: www.anti-malware.ru

Мы в телеграмм
📅 Вчера, 18:34