Chinese hackers gebruikten maandenlang Notepad++ als achterpoortje om malware te installeren.
De update-infrastructuur van Notepad++, een open source alternatief voor Notepad, bleek zes maanden lang gecompromitteerd, waardoor aanvallers gemanipuleerde versies van de populaire Windows-teksteditor konden verspreiden naar gerichte slachtoffers.
Gerichte aanvallen via updatekanaal
Ontwikkelaars bevestigen dat aanvallers sinds juni vorig jaar updateverkeer onderschepten en omleidden naar kwaadaardige servers. Pas in december kreeg Notepad++ opnieuw volledige controle over zijn infrastructuur. Volgens meerdere beveiligingsonderzoekers wijst het spoor naar een door China gesteunde dreigingsgroep.
Volgens een onderzoeker in Arstechnica maakten de aanvallers misbruik van zwakke verificatie in oudere updateprocessen. Daardoor konden ze bepaalde gebruikers naar alternatieve downloadservers sturen. Daar werd een nieuwe backdoor geïnstalleerd die hen externe controle gaf over het systeem voor datadiefstal.
Technische zwakke plek
Notepad++ gebruikte een eigen updater die informatie ophaalde via een XML-bestand. Door het verkeer te manipuleren, konden aanvallers de downloadlocatie aanpassen. Hoewel recentere versies digitale ondertekening gebruiken, bleek de controle in oudere releases onvoldoende robuust.
De ontwikkelaars raden aan om minstens versie 8.9.1 handmatig te installeren via de officiële website. Organisaties met strengere beveiligingseisen kunnen overwegen om automatische updates te blokkeren of netwerktoegang voor de updater te beperken.