Il popolare editor di testo open source Notepad++ ha rivelato un sofisticato attacco alla catena di approvvigionamento che ha permesso a presunti hacker sponsorizzati dallo stato cinese di dirottare il suo meccanismo di aggiornamento e distribuire malware a utenti mirati tra giugno e dicembre 2025. La rivelazione, dettagliata in un avviso di sicurezza pubblicato questa settimana, ha scosso la comunità degli sviluppatori poiché milioni di persone si affidano a questo leggero editor di codice per le attività di programmazione quotidiane.
Secondo la divulgazione, gli aggressori hanno compromesso l'infrastruttura del provider di hosting piuttosto che il codice sorgente di Notepad++ stesso, consentendo loro di intercettare e reindirizzare il traffico di aggiornamento destinato a notepad-plus-plus.org. L'avviso ha dichiarato che il traffico di alcuni utenti mirati è stato selettivamente reindirizzato verso server controllati dagli aggressori che fornivano manifesti di aggiornamento malevoli, risultando nel download di file eseguibili compromessi sui sistemi delle vittime invece degli aggiornamenti legittimi.
Il ricercatore di sicurezza Kevin Beaumont è stato il primo a segnalare attività insolite che colpivano gli utenti di Notepad++, notando che gli attacchi miravano specificamente a società di telecomunicazioni e servizi finanziari nell'Asia orientale. Beaumont ha osservato che le vittime erano organizzazioni con interessi nell'Asia orientale e che l'attività appariva molto mirata, con attività di ricognizione hands-on-keyboard iniziata circa due mesi fa. Diversi ricercatori di sicurezza indipendenti hanno valutato che l'attore della minaccia è probabilmente un gruppo sponsorizzato dallo stato cinese, il che spiegherebbe la selezione altamente mirata osservata durante la campagna.
La timeline dell'attacco rivela che gli attori malevoli hanno inizialmente ottenuto l'accesso al server di hosting condiviso a giugno 2025. Sebbene il server abbia subito manutenzione programmata con aggiornamenti del kernel e del firmware il 2 settembre che hanno interrotto l'accesso diretto al server, gli aggressori hanno mantenuto credenziali rubate ai servizi interni fino al 2 dicembre, permettendo loro di continuare a reindirizzare il traffico di aggiornamento verso server compromessi. Tutte le misure di rimedio e rafforzamento della sicurezza sono state completate dal provider di hosting entro il 2 dicembre 2025.
In risposta alla violazione, Notepad++ è migrato a un nuovo provider di hosting con pratiche di sicurezza significativamente più robuste e ha rilasciato la versione 8.8.9 con miglioramenti critici della sicurezza. Il componente di aggiornamento WinGUp ora verifica sia il certificato che la firma degli installer scaricati, e i manifesti di aggiornamento XML sono firmati digitalmente tramite XMLDSig. A partire dalla prossima versione 8.9.2, la verifica del certificato e della firma sarà obbligatoria. Gli utenti sono fortemente invitati ad aggiornare immediatamente e rimuovere tutti i certificati root Notepad++ precedentemente installati.
Commenti