Es wurde kürzlich bestätigt, was viele befürchteten: ein sehr populärer Texteditor unter Entwicklern und fortgeschrittenen Benutzern wurde als Vektor verwendet, um Malware in Zielmaschinen einzuführen. Der Täter war nicht eine Schwachstelle von Notepad + selbst, sondern ein Eindringen auf der Ebene des Anbieters, der seine Updates hosting, die einem Schauspieler im Zusammenhang mit China erlaubt, selektiven Verkehr umzuleiten und ein manipuliertes Update für bestimmte Benutzer.
Die Rapid7-Antwortfirma veröffentlichte eine detaillierte Analyse, in der sie dokumentiert, wie der Angreifer dieses Gelegenheitsfenster nutzte, um eine Hintertür bis dahin unbekannt zu liefern, getauft als Chrysalis. Der Bericht enthält technische Nachweise über die Probe, ihre Umsetzungskette und die Techniken, die dazu verwendet werden, sie auszuführen und in kompromittierten Systemen zu bestehen. Hier können Sie den Bericht von Rapid7 lesen: Rapid7 - TR: Chrysalis Hintertür.
Laut der Untersuchung begann die beobachtete Sequenz mit der legitimen Ausführung von Notepad + + und dessen Aktualisierung (GUP.exe). Dann ein Installer namens update. exe wurde heruntergeladen und von einer IP von den Angreifern kontrolliert veröffentlicht. Dieser Installer ist ein NSIS-Paket, das mehrere Komponenten umfasst: eine renommierte ausführbare, die zur Durchführung von DLL ide-loading, eine bösartige DLL, die für die Entschlüsselung und den laufenden Shellcode verantwortlich ist, und selbst Nutzlast vonuscado, Chrysalis.
Die Technik von DLL ide-loading ist nicht neu und wurde oft von staatlichen Gruppen verwendet. Es ist zu nutzen, wie eine legitime Anwendung lädt dynamische Bibliotheken, um die Last einer schädlichen DLL mit dem gleichen Namen wie eine erwartete Abhängigkeit zu zwingen. Rapid7 weist darauf hin, dass in diesem Fall legitime Binäre von Sicherheitsanbietern als Teil der Täuschung wiederverwendet wurden, eine Taktik, die auch in Kampagnen erschien, die zuvor von Broadcom / Symantec gegen denselben von mehreren Aliasen bekannten Schauspieler, einschließlich Lotus Blossom oder Billbug dokumentiert wurden.
Chrysalis ist seinerseits ein ausgeklügeltes Implantat: Es sammelt Systeminformationen und kontaktiert einen Befehls- und Steuerserver (C2) für weitere Anweisungen. Obwohl der in der Analyse dokumentierte C2 nicht mehr reagiert, zeigt der Backdoor-Code Fähigkeiten, um eine interaktive Shell zu öffnen, Prozesse zu erstellen, Dateien zu verwalten, Upload und Download-Daten, und sogar deinstallieren. Rapid7 findet sich auch in den Paketkomponenten, die eine Cobalt Strike Nutzlast mit einem benutzerdefinierten Ladegerät laden, das die bekannte Metasploit-Block-API enthält, deren Projektarchiv öffentlich zugänglich ist: Metasploit - Block _ api.asp.
Eine weitere relevante Erkenntnis ist die Verwendung von ungeschädigten Anziehungs- und Schutztechniken, wie der Missbrauch eines internen Microsoft-Tools namens Warbird zur Ausführung von Shellcode im Kernel-Modus, angepasst von einem von deutschen Forschern veröffentlichten Konzepttest. Die Arbeit von Cirosec, die diesen Missbrauch beschreibt, finden Sie hier: Cirosec - Missbrauch von Microsoft Warbird, und eine zusätzliche Analyse von Warbird erscheint in diesem technischen Artikel: Websec - Microsoft Warbird Tieftauchgang.
Die von Rapid7 vorgeschlagene Zuschreibung verbindet diesen Satz von Werkzeugen und Taktiken mit dem Schauspieler Lotus Blossom, basierend auf Ähnlichkeiten mit früheren Kampagnen: die Wiederverwendung von legitimen Ausführbaren für DLs Sideloading, das Muster von benutzerdefinierten Nutzlasten zusammen mit kommerziellen Rahmen wie Cobalt Strike und die rasche Einführung öffentlicher Techniken durch den Angreifer. Broadcom / Symantec hatte bereits die Aktivitäten dieses Schauspielers im April 2025 dokumentiert, die der jetzt gezeigten Evolution entspricht.
Aus der Perspektive der Notepad + + Community, Wartung Don Ho stellte fest, dass die Störung auf der Host-Ebene auftrat und erlaubte selektive Umleitungen des Update-Verkehrs seit Juni 2025; die Organisation patchierte die Schwäche und veröffentlichte eine sichere Version im Dezember 2025. Das Team wanderte zu einem neuen Unterkunftsanbieter und verdrehte Anmeldeinformationen, die der erste logische Schritt nach der Entdeckung eines Eindringens in die Lieferkette sind. Sie können die Notepad + + Projekt Release Seite überprüfen, um offizielle Versionen und Notizen zu überprüfen: Notepad + - Releases.
Es ist wichtig zu betonen, dass laut Rapid7 keine Beweise dafür vorliegen, dass der Update-Mechanismus massiv genutzt wurde, um Malware auf die gesamte Nutzerbasis zu verteilen; der Schauspieler führte selektive Umleitungen durch und die technische Bestätigung der Infektion ist auf bestimmte Systeme beschränkt, in denen anormale Ausführungen beobachtet wurden. Eine Kampagne, die auf bestimmte Benutzer einer solchen weit verbreiteten Anwendung gerichtet ist, zeigt jedoch die Gefahr von Supply Chain-Angriffen, wo das Vertrauen in die Integrität von Updates zu einem Vektor des Engagements werden kann.
Die Nachrichten haben die Berichterstattung in spezialisierten Medien generiert, die den technischen Details und Auswirkungen auf die Nutzer gefolgt sind: unter anderem veröffentlichte BleepingComputer eine zugängliche Zusammenfassung dessen, was passiert ist und Empfehlungen für die Betroffenen. Lesen Sie mehr unter: BleepingComputer - Notepad + Benutzer gezielt.
Welche praktischen Lektionen lässt dieser Vorfall? Erstens die Bedeutung der Überprüfung der Authentizität der Updates und der Bevorzugung robuster kryptografischer Signatur- und Validierungsmechanismen. Zweitens muss die Dringlichkeit der Gewährleistung nicht nur der Software, sondern der gesamten Vertriebskette: Hosting-Anbieter, Repositories und Publishing-Prozesse als Teil des Sicherheitsumfangs behandelt werden. Und drittens mischen die Angreifer weiterhin ihre eigenen Werkzeuge mit bekannten kommerziellen Rahmenbedingungen und öffentlicher Forschung, die ihre Fähigkeit beschleunigt, konventionelle Erkennungen zu umgehen.
Wenn Sie ein Notepad + + + Benutzer oder eine kritische Anwendung sind, sollten Sie überprüfen, ob Sie sich in der neuesten Version befinden, die nach Minderung veröffentlicht wird, aus offiziellen Quellen neu installieren und, soweit möglich, die Validierung von Signaturen oder Kontrollbeträgen, die von Entwicklern angeboten werden, aktivieren. Für Firmenteams empfiehlt es sich, Aufzeichnungen zu überprüfen, nach Anzeichen für unerwartete Ausführbare zu suchen (wie Updates von ausländischen PIs) und, falls erforderlich, wieder kompromittierte Systeme aus sauberen Bildern zu erstellen.
Diese Episode bringt eine störende Realität auf den Vorwand: Schutz der populären Software erfordert die Suche über den Code und die Sicherstellung jeder Verbindung in der Distributionskette. Während die Ressourcengruppen ihre Arsenal weiterhin sophistisch machen, ist die beste Verteidigung eine Kombination aus technischen Kontrollen, strengen Prozessen und ständiger Überwachung.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...