- Notepad++, tehlikeye atılmış barındırma sunucusu aracılığıyla karmaşık tedarik zinciri tarzı saldırıyı hedef aldı
- Saldırganlar, zayıf güncelleme doğrulama kontrollerinden yararlanarak seçilen kurbanlara kusurlu güncellemeler sundu
- İhlal Haziran’dan Aralık 2025’e kadar sürdü ve muhtemelen Çin devleti destekli aktörlerle bağlantılı olarak yeni barındırmaya geçişe ve güçlendirilmiş güncelleme doğrulamasına yol açtı
Notepad++, büyük olasılıkla Çin devleti destekli bir tehdit aktörü tarafından gerçekleştirilen, yüksek hedefli ve karmaşık bir siber saldırının kurbanı olduğunu doğruladı.
bir güvenlik bildirimi Projenin web sitesinde yayınlanan açıklamada şirket, saldırganların paylaşılan barındırma sağlayıcısının sunucusunu ele geçirmeyi başardıklarını ve bunu dikkatlice seçilmiş bir avuç kurbana kusurlu güncellemeler sunmak için kullandıklarını açıkladı.
Barındırma sağlayıcısından alınan bilgiye atıfta bulunarak, bildirimde “Günlüklerimizde sunucunun tehlikeye atılmış olabileceğini gösteren şüpheli olaylar keşfettik” denildi. “Günlüklerimize göre, bu özel sunucuda barındırılan başka hiçbir istemcinin hedef alındığını görmüyoruz. Kötü aktörler özellikle [Notepad++] Yetersiz güncelleme doğrulama kontrolleriyle ilgili o sırada mevcut olan Notepad++ güvenlik açıklarını biliyor olabilecekleri için web sitenize gelen trafiği engellemeyi amaçlayan bir alan adı kullanıyorlar.”
Yüksek hedefli, karmaşık saldırı
Projenin geliştiricisi, harici bir soruşturmanın, ihlalin Haziran 2025’te gerçekleştiğini ve saldırganların, bir yama onları devreden çıkardıktan sonra Eylül 2025’e kadar erişime devam ettiğini belirlediğini açıkladı.
Ancak kimlik bilgilerini ellerinde tuttukları için, Aralık 2025’in başlarına kadar saldırılara devam etmelerine izin verildi. Bu tarihte şifre rotasyonu sonunda saldırıyı durdurdu.
Saldırılar hiçbir şekilde Notepad++ kodunu içermiyordu. Bunun yerine, dikkatle seçilmiş hedeflere kusurlu yamalar göndermek için sunucu erişimini kullandılar. Müfettişlere göre saldırganlar, büyük olasılıkla Çin devleti destekli olanlar, “son derece seçici” hedefleme yapıyorlardı.
Bildirimde “Saldırganlar, Notepad++’ın eski sürümlerinde mevcut olan yetersiz güncelleme doğrulama kontrollerinden yararlanmak amacıyla özellikle Notepad++ alanını hedef aldı” deniyor. “Tüm iyileştirme ve güvenlik iyileştirmeleri, sağlayıcı tarafından 2 Aralık 2025’e kadar tamamlandı ve daha fazla saldırgan faaliyeti başarıyla engellendi.”
Bu saldırının arkasında hangi grubun olduğu ve kimi hedef aldığı bilinmiyor. Ancak Notepad++ yeni bir barındırma sağlayıcısına geçti ve indirme yükleyicisinin hem sertifikasını hem de imzasını doğrulamak için güncelleyicinin kendisi v8.8.9 sürümüne güncellendi. Ayrıca, güncelleme sunucusu tarafından döndürülen XML de artık imzalanmıştır ve sertifika ve imza doğrulaması, yaklaşık bir ay içinde beklenen v8.9.2’den itibaren zorunlu hale getirilecektir.
Her bütçeye uygun en iyi antivirüs
TechRadar’ı Google Haberler’de takip edin Ve bizi tercih edilen kaynak olarak ekleyin Akışlarınızda uzman haberlerimizi, incelemelerimizi ve görüşlerimizi almak için. Takip Et butonuna tıklamayı unutmayın!
Ve elbette siz de yapabilirsiniz TechRadar’ı TikTok’ta takip edin haberler, incelemeler ve video biçimindeki kutu açma işlemleri için bizden düzenli olarak güncellemeler alın WhatsApp fazla.