Разработчики текстового редактора Notepad++ выпустили версию 8.8.9, которая закрывает опасный изъян в механизме автообновления. Проблема привлекла внимание специалистов по кибербезопасности после сообщений пользователей о том, что система обновлений вместо легитимных файлов стала загружать и запускать подозрительные исполняемые файлы.
Критическая проблема автообновления Notepad++: что произошло
Первые признаки инцидента появились на форумах сообщества Notepad++. Пользователи описывали ситуацию, при которой модуль обновления GUP.exe (WinGUp) запускал неизвестный файл %Temp%\AutoUpdater.exe. Этот файл вел себя как типичный шпионский компонент: собирал информацию о системе, выполнял ряд команд разведки и сохранял результаты в файл a.txt.
После сбора данных вредонос использовал curl.exe для отправки полученной информации на сервис temp[.]sh, известный как платформа для обмена текстом и файлами, который уже фигурировал в других вредоносных кампаниях. Такой сценарий характерен для первоначального этапа компрометации — сбора контекста о системе перед дальнейшими действиями атакующих.
Участники сообщества обратили внимание, что легитимный GUP использует библиотеку libcurl, а не отдельный исполняемый файл curl.exe и не должен собирать подобную телеметрию. Это вызвало обоснованное подозрение: либо был установлен зараженный неофициальный билд Notepad++, либо кто-то перехватывает и подменяет трафик автообновлений.
Технические детали возможной атаки через механизм обновления
При проверке обновлений Notepad++ обращается к адресу:
https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<номер_версии>
Если для установленной версии существует обновление, сервер возвращает XML-ответ с указанием новой версии и URL установочного файла. Пример типичного ответа:
<GUP>
<script/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>
Известный специалист по информационной безопасности Кевин Бомонт (Kevin Beaumont) указал, что при перехвате и модификации этого трафика злоумышленники теоретически могут подменить значение <Location> и перенаправить загрузку на любой другой URL. В таком случае механизм автообновления превращается в эффективный канал распространения вредоносных исполняемых файлов.
Таргетированные инциденты и географический фокус
По словам Бомонта, к нему обратились как минимум три организации, в которых были зафиксированы проблемы с безопасностью на системах с установленным Notepad++. В этих инцидентах процессы редактора, по всей видимости, использовались как точка первичного доступа, а дальнейшие действия злоумышленников проводились вручную. Общей чертой пострадавших компаний стало наличие интересов в регионе Восточной Азии, что указывает на таргетированный характер атак, а не на массовое распространение.
При этом в официальном бюллетене безопасности Notepad++ подчеркивается, что расследование еще продолжается и точный способ перехвата или подмены трафика обновлений пока не подтвержден. Возможные версии включают как компрометацию цепочки поставок у сторонних провайдеров, так и использование вредоносной рекламы и фальшивых сайтов с поддельными установщиками.
Ответ разработчиков: версии Notepad++ 8.8.8 и 8.8.9
Чтобы снизить риск атак через автообновление, разработчик Notepad++ Дон Хо 18 ноября выпустил версию 8.8.8, в которой загрузка обновлений была переведена исключительно на площадку GitHub. Однако анализ ситуации показал, что одного изменения источника загрузки недостаточно, если атакующий способен перехватывать и модифицировать сетевой трафик.
9 декабря была представлена версия Notepad++ 8.8.9 с существенно усиленным механизмом доверия к обновлениям. Теперь и сам редактор, и модуль WinGUp проверяют цифровую подпись и сертификат каждого загружаемого установщика в процессе автообновления. Если подпись недействительна, отсутствует или сертификат не принадлежит разработчику, установка обновления автоматически прерывается.
Разработчики также напоминают, что начиная с версии 8.8.7 все официальные бинарные файлы и установщики Notepad++ должны быть подписаны валидным сертификатом. Пользователям, которые ранее устанавливали кастомные корневые сертификаты (например, для корпоративных прокси или устаревших решений), рекомендуется пересмотреть доверенную цепочку и удалить потенциально небезопасные или неиспользуемые корневые сертификаты.
Риски атак на цепочку поставок ПО и практические рекомендации
Инцидент с Notepad++ вписывается в более широкий тренд атак на цепочку поставок программного обеспечения (software supply chain). За последние годы громкие случаи компрометации обновлений (включая инциденты с CCleaner и SolarWinds) показали, что злоумышленники активно используют доверие к легитимным продуктам для распространения вредоносов.
В подобных сценариях автообновление превращается из механизма повышения безопасности в вектор атаки, если отсутствует строгая проверка подлинности загружаемых файлов. Именно поэтому использование цифровой подписи и проверяемой цепочки сертификатов становится ключевым требованием к любым обновляющимся приложениям, особенно широко используемым в корпоративной среде.
Пользователям и организациям, использующим Notepad++, рекомендуется:
- Немедленно обновиться до версии 8.8.9 или новее, установив релиз только с официальных источников (официальный сайт или репозиторий GitHub проекта).
- Проверять, что скачиваемые установщики Notepad++ имеют корректную цифровую подпись разработчика.
- Избегать загрузки редактора с неофициальных сайтов, торрент-трекеров и через подозрительную рекламу, которые часто используются для распространения поддельных билдов.
- Периодически ревизовать список доверенных корневых сертификатов, удаляя устаревшие и неизвестные записи.
- Использовать современные средства защиты (EDR/antivirus), способные обнаруживать аномальные действия вроде неожиданных запусков curl.exe, сохранения данных в нестандартные файлы и обращения к малоизвестным внешним сервисам.
Случай с уязвимостью автообновления Notepad++ наглядно показывает, насколько важны для безопасности даже «обычные» приложения, такие как текстовые редакторы. Чем популярнее программный продукт, тем привлекательнее он для злоумышленников как часть цепочки поставок ПО. Регулярное обновление до актуальных версий, проверка цифровых подписей и внимательное отношение к источникам загрузки становятся необходимым базовым уровнем гигиены кибербезопасности как для рядовых пользователей, так и для организаций любого масштаба.
