Popularni Windows-ov uređivač teksta Notepad++ nakratko je postao oružje protiv vlastitih korisnika. Razvojni tim je potvrdio da je infrastruktura za nadogradnje bila kompromitirana od lipnja do prosinca prošle godine, a napad su, prema više neovisnih istraga, vodili državno sponzorirani hakeri iz Kine.
Autor službenog priopćenja korisnicima se ispričao riječima: „Duboko se ispričavam svim korisnicima pogođenima ovim upadom.” Napadači su na razini poslužiteljske infrastrukture presretali promet prema notepad-plus-plus.org i preusmjeravali odabrane žrtve na zlonamjerne servere, gdje su im nudili trojanizirane verzije programa.
Ključna komponenta napada je novi malver nazvan Chrysalis, koji je sigurnosna tvrtka Rapid 7 opisala kao „custom, feature-rich backdoor”. Djelomična kontrola nad poslužiteljima vraćena je 2. rujna, no napadači su sačuvali pristupne podatke sve do 2. prosinca, čime su još mjesecima mogli slati lažne nadogradnje.
Istraživač Kevin Beaumont povezao je incident s najmanje tri organizacije čija se infrastruktura nalazi u istočnoj Aziji. U njima su napadači, nakon instalacije zaraženog Notepad-a++, uspjeli dobiti hands-on-keyboard pristup, odnosno izravno upravljati sustavima kroz web sučelje.
Beaumont je još u studenome primijetio da je verzija 8.8.8 dobila zakrpe za „otvrdnjavanje” ažurera, a nakon daljnjeg istraživanja je u prosincu iznio teoriju koja se sada pokazala točnom: starije verzije nisu dovoljno provjeravale potpis nadogradnji pa su hakeri to iskoristili.
Problemu dodatno pogoduje velik broj oglasnih rezultata u tražilicama koji nude lažne instalere, kao i niz zlonamjernih proširenja za Notepad++.
Razvojni tim poziva sve korisnike da ručno preuzmu i instaliraju službenu verziju 8.9.1 ili noviju sa službene stranice. Velikim organizacijama savjetuje se blokiranje procesa gup.exe za izlaz na internet ili potpuno onemogućavanje mrežnog pristupa Notepad++.exe ako to ne narušava radne procese.
Korisnici koji sumnjaju na kompromitaciju mogu usporediti svoje sustave s indikatorima kompromitacije objavljenima u analizi Rapid 7.