سرقت بهروزرسانیهای Notepad++ و احتمال جاسوسی برای چین
سرورهای میزبان مشترک ویرایشگر متن و کد Notepad++ هک شدند و کاربران ممکن است بهروزرسانیهای مخرب را دانلود کرده باشند؛ توسعهدهنده جزئیات حمله را منتشر کرد.
نفوذ به سرورهای بهروزرسانی Notepad++
برنامه ویرایشگر متن و کد Notepad++ مدتی شاهد یک نفوذ امنیتی جدی بود که در آن سرورهای میزبانی مشترک این برنامه هک شدند و این امکان را به مهاجمان داد تا بهروزرسانیهای مخرب را برای کاربران ارسال کنند. توسعهدهنده برنامه، «دون هو» (Don Ho)، اعلام کرد که این حمله احتمالاً توسط یک گروه وابسته به دولت چین انجام شده و سرورها تقریباً شش ماه، از ژوئن تا دسامبر ۲۰۲۵، در معرض خطر بودهاند. این نفوذ از سمت ارائهدهنده خدمات میزبانی سابق انجام شده است، نه خود توسعهدهنده اصلی.
طبق توضیحات ارائهشده، ترافیک کاربران هدفمند بهطور انتخابی به سرورهای تحت کنترل مهاجمان هدایت میشد که در آنجا، بهروزرسانی نرمافزار با یک فایل اجرایی مخرب جایگزین میشد. کارشناس امنیت سایبری، کوین بومونت، اظهار داشت که این فایل مخرب میتوانست دسترسی از راه دور به صفحه کلید قربانی را فراهم کند. نکته مهم این است که «دون هو» تأکید کرد که این حمله «هدفگیری بسیار انتخابی» داشته و قربانیان سازمانهایی بودهاند که «به شرق آسیا علاقهمند هستند»؛ بنابراین، این حمله احتمالاً گسترده نبوده و متمرکز بر افراد خاصی بوده است.
- مدت زمان نفوذ: از ژوئن تا دسامبر ۲۰۲۵.
- ماهیت حمله: جایگزینی فایلهای بهروزرسانی قانونی با بدافزار.
- هدف احتمالی: گروههای دارای منافع در شرق آسیا.
- اقدامات امنیتی: توسعهدهنده دسترسی مهاجمان را در تاریخ ۲ دسامبر قطع کرده است.
«ترافیک کاربران هدفمند بهطور انتخابی به سرورهای تحت کنترل مهاجمان هدایت میشد.»
توسعهدهنده Notepad++ اعلام کرده است که وصلههای امنیتی قویتری به بهروزرسان برنامه اضافه شده است تا از دستکاری و تأیید قانونی بودن بهروزرسانیها اطمینان حاصل شود. برای کاربران توصیه شده است که حتماً به نسخه ۸.۸.۹ یا بالاتر بهروزرسانی کنند و این کار را مستقیماً از وبسایت رسمی Notepad++ انجام دهند. همچنین توصیه شده است که فعالیتهای مشکوک فایلهایی مانند “gup.exe” (بهروزرسان برنامه) و “update.exe” یا “AutoUpdater.exe” در پوشه TEMP بررسی شوند.
«کاربران باید مطمئن شوند که از نسخه ۸.۸.۹ یا بالاتر استفاده میکنند.»
این حادثه نشاندهنده آسیبپذیریهای زنجیره تأمین نرمافزار، حتی برای ابزارهای پرکاربرد و محبوب در میان توسعهدهندگان، است و لزوم رعایت دقیق پروتکلهای امنیتی در زیرساختهای میزبانی را برجسته میسازد.
