Vor ein paar Wochen kündigte Notepad + + + Beamte ein Sicherheitsupdate an, um die Türen zu schließen, die fortgeschrittene Angreifer verwendet, um den Programmaktualisierungsmechanismus zu manipulieren und Malware an bestimmte Opfer zu verteilen. Version 8.9.2 enthält eine Neuausrichtung des Prozesses von Updates und Änderungen im Selbstaktual, um es für ähnliche Angriffe in der Zukunft schwierig zu machen. Sie können die offizielle Anzeige auf der Projektseite lesen Notizblock + v8.9.2 und die öffentliche Diskussion in der Gemeinschaft in Community.notepad-plus-plus.org.
Das Problem war nicht nur ein lokaler Fehler: der Vorfall entstand durch eine Intrusion auf der Host-Ebene, die den Angreifern erlaubte, bestimmte Update-Anfragen an von ihnen kontrollierte Server umzuleiten. Dabei gelang es ihnen, einige Benutzer zu erhalten, manipulierte Installateure, die eine ungeschädigte Hintertür enthalten entworfen, um unbemerkt zu übergeben. Drittanbieter-Forschungsteams haben diese Operation mit einer Gruppe mit Verbindungen zu China in Verbindung gebracht und die Hintertür mit dem Namen Chrysalis identifiziert; die öffentliche Kommunikation des Projekts und die anschließende Analyse brachten den Vorfall auf einen in Cyber-Dreat-Untersuchungen bekannten Schauspieler zurück.
Notepad +'s Antwort war nicht beschränkt auf das Entfernen der engagierten Pakete. Entwickler vorgestellt, was sie als "doppeltes Schloss"-Design im Update-Flow beschreiben: Zusätzlich zur Überprüfung der Signatur des von GitHub heruntergeladenen Installers ist die XML-Signatur, die den Updateserver zurückgibt, nun auch gültig. Diese zweite Schicht der Überprüfung reduziert die Möglichkeit, dass eine Manipulation der Netzwerkrouten oder der Hosting-Provider schädliche Anweisungen dienen kann, die legitim erscheinen.
Parallel dazu erhielt die für automatische Updates verantwortliche Komponente - WinGup - eine Reihe technischer Härten. Unter den Maßnahmen wurden Bookstores und Optionen entfernt, die den dynamischen Lastbetrieb von DLLs oder unsicheren TLS-Konfigurationen erleichtern könnten; libcurl.dll wurde gelöscht, um das Risiko von DLL Side-Lastungen zu vermeiden, und cURL-Optionen, die mit unsicheren SSL / TLS-Praktiken verbunden sind, wurden entfernt. Die Implementierung von Plugin-Management-Operationen wurde auch auf Programme beschränkt, die mit dem gleichen Zertifikat wie WinGup signiert sind, was verhindert, dass unbefugte Binaries nutzen des Plugin-Mechanismus, um bösartigen Code auszuführen.
Zusätzlich zu den Verbesserungen im Selbstaktual wird durch die Version eine Schwerkraftverwundbarkeit (öffentlich mit der von den Entwicklern angegebenen Kennung) festgelegt, die die Codeausführung im Rahmen der Anwendung unter bestimmten Bedingungen ermöglichen könnte. Entwickler erklären, dass die Wurzel des Problems eine "unsichere Suchroute"-Typ Sicherheitslücke ist, wenn der Windows Explorer gestartet wird, ohne den absoluten Weg zur ausführbar; diese Art von Schwäche wird von der Sicherheitsgemeinschaft als CWE-426 (Unsicherer Suchpfad), und kann verwendet werden, wenn ein Angreifer die Kontrolle über das Arbeitsverzeichnis des Prozesses hat, um eine schädliche ausführbare geladen anstelle des legitimen zu erhalten.
Der Vorfall wurde intern von Projektleitern Anfang Dezember entdeckt, obwohl die Manipulation des Update-Verkehrs begann Monate früher, nach der Chronologie veröffentlicht von Notepad + +. Externe Forscher und Sicherheitsfirmen haben die Proben und das Verhalten der eingesetzten Malware analysiert; Geräte wie Rapid7 und Kaspersky haben den Fall in ihren Versorgungsketten-Drohungsforschungsbereichen aufgenommen, was die Bedeutung der Prüfung nicht nur des Anwendungscodes, sondern auch der Dienste und Lieferanten, die ihre Updates unterstützen, unterstreicht. Sie können allgemeine Forschungsressourcen anfragen Rapid7 Forschung und auf der Bedrohungsanalyse Blog Kaspersky diese Art von Kampagne besser verstehen.
Was sollen die Nutzer jetzt tun? Die grundlegende und dringendste Empfehlung ist Update auf Version 8.9.2 und stellen Sie sicher, dass die Downloads aus der offiziellen Domäne des Projekts kommen. Darüber hinaus ist es eine gute Praxis, digitale Signaturen von Installern zu überprüfen, wenn der Entwickler diesen Mechanismus bereitstellt, und Installateure, die von inoffiziellen Spiegeln oder Links von unbekannten Dritten erhalten, zu misstrauen. Notepad + hat die technischen Informationen über die Korrekturen veröffentlicht und wie die Angriffsrouten in ihrem Sicherheitsrepository abgemildert wurden Sicherheitshinweise in GitHub.
Diese Folge reemphasisiert, dass Software-Versorgungsketten ein attraktiver Vektor für motivierte und Ressourcen-Aktakteure sind, weil die Aktualisierungskontrolle eine effiziente Möglichkeit bietet, Systeme zu kompromittieren, ohne dass jeder Computer einzeln ausgenutzt werden muss. Die Lektion für Administratoren und Benutzer ist doppelt: die Kontrolle an zentralen Punkten (Lieferanten, Update-Server, Signaturen und Zertifikate) zu stärken und die digitale Hygiene einschließlich überprüfter Updates und die Verwendung offizieller Quellen zu erhalten..
Wenn Sie für die Aufrechterhaltung von Workstations oder Servern mit Notepad + + verantwortlich sind, priorisieren Sie die Installation des Updates und überprüfen interne Verfahren für den Download und die Überprüfung von Installern. Die Aufmerksamkeit auf die Integrität der Updates ist nun ebenso wichtig wie die Aktualität der Software: Beide Aktionen werden ergänzt, um das Risiko zu reduzieren, dass eine offensichtliche Ursache der Sicherheit zu einem echten Vorfall wird.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...