Один із найпопулярніших текстових редакторів для Windows, Notepad++, отримав оновлення до версії 8.8.9, яке усуває критичну уразливість у механізмі автооновлення. Цей недолік міг перетворити звичну функцію оновлення на зручний канал доставки шкідливого коду, що особливо небезпечно в корпоративних мережах.
Критична уразливість автооновлення Notepad++: як її виявили
Тривогу першими підняли користувачі на форумах спільноти Notepad++. Вони помітили, що модуль оновлення GUP.exe (WinGUp), який відповідає за автооновлення редактора, запускає невідомий файл %Temp%\AutoUpdater.exe замість легітимного інсталятора.
Сценарій роботи шкідливого AutoUpdater.exe
Поведіка цього AutoUpdater.exe виявилася типовою для шпигунського ПЗ. Файл:
- збирав інформацію про систему та оточення (OS, мережеві налаштування, встановлені програми);
- виконував низку розвідувальних команд;
- зберігав результати у файл a.txt;
- надсилав зібрані дані за допомогою curl.exe на сервіс temp[.]sh, відомий як анонімний майданчик для обміну файлами, який уже фігурував в інших шкідливих кампаніях.
Такий ланцюжок дій відповідає початковій фазі цільової атаки: зловмисники спершу отримують контекст щодо системи-жертви, а вже потім приймають рішення про подальший рух — розгортання бекдорів, шифрувальників чи інструментів для латерального переміщення.
Учасники спільноти справедливо зауважили, що легітимний GUP.exe працює через вбудовану бібліотеку libcurl, а не окремий виконуваний файл curl.exe, і не повинен збирати жодної телеметрії. Це звузило коло версій до двох основних сценаріїв: або було встановлено скомпрометований неофіційний збірник Notepad++, або хтось перехоплює та підміняє трафік автооновлення (атака типу man-in-the-middle).
Технічний аналіз: як могли використати GUP.exe для атаки
Під час перевірки оновлень Notepad++ звертається до
https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<поточна_версія>
Сервер повертає XML-відповідь із вказівкою, чи потрібне оновлення, і посиланням на інсталятор нової версії. Спрощений приклад такої відповіді:
<GUP>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/.../npp.8.8.8.Installer.exe</Location>
</GUP>
Відомий фахівець з інформаційної безпеки Кевін Бомонт (Kevin Beaumont) звернув увагу, що при перехопленні цього HTTP(S)-трафіку зловмисник може змінити значення тегу <Location> і скерувати автооновлення на будь-який інший URL. У такому випадку механізм автооновлення Notepad++ перетворюється на легальний «завантажувач» шкідливих виконуваних файлів.
Таргетовані інциденти та географічний фокус атак
За словами Бомонта, щонайменше три організації повідомили про інциденти безпеки, де Notepad++ і пов’язані з ним процеси, ймовірно, використовувалися як початкова точка проникнення. Усі постраждалі мали бізнес-інтереси у регіоні Східної Азії, що свідчить не про масову кампанію, а про таргетовані атаки проти чітко визначених цілей.
В офіційному бюлетені безпеки розробники Notepad++ наголошують, що розслідування триває, а точний спосіб перехоплення або підміни трафіку автооновлення ще не підтверджений. Серед робочих гіпотез: компрометація ланцюга постачання у сторонніх провайдерів, шкідлива реклама (malvertising), а також фальшиві сайти з підробленими інсталяторами Notepad++.
Відповідь розробників Notepad++: версії 8.8.8 та 8.8.9
18 листопада була випущена версія Notepad++ 8.8.8, у якій джерело завантаження оновлень обмежили лише офіційним репозиторієм GitHub. Це зменшує ризики, але не вирішує проблему, якщо зловмисник здатен модифікувати мережевий трафік на шляху до сервера.
9 грудня вийшла версія 8.8.9, де кардинально посилили механізм довіри до оновлень. Тепер і основний застосунок, і модуль WinGUp:
- перевіряють цифровий підпис кожного завантаженого інсталятора;
- переконуються, що сертифікат належить розробнику Notepad++ і є чинним;
- автоматично переривають оновлення, якщо підпис відсутній або недійсний.
Розробники нагадують: починаючи з версії 8.8.7, усі офіційні бінарні файли та інсталятори Notepad++ підписуються валідним сертифікатом коду. Користувачам, які встановлювали власні кореневі сертифікати (наприклад, для корпоративних проксі або застарілих продуктів), рекомендовано провести ревізію і видалити потенційно небезпечні або невідомі довірені корені, щоб зменшити ризик зловживань.
Атаки на ланцюг постачання ПЗ: чому кейс Notepad++ показовий
Інцидент з уразливістю автооновлення Notepad++ вписується у глобальний тренд атак на ланцюг постачання програмного забезпечення (software supply chain). Резонансні випадки на кшталт CCleaner (2017) та SolarWinds (2020) продемонстрували, що зловмисники активно використовують довіру до легітимних продуктів для розповсюдження шкідливого коду.
Коли відсутня сувора перевірка підпису та сертифікатів, механізм автооновлення з інструмента підвищення безпеки перетворюється на вектор атаки. Тому використання цифрового підпису, перевірюваної ланки сертифікатів та контрольованих джерел оновлень сьогодні є базовою вимогою до будь-якого широко використовуваного застосунку, особливо в корпоративному середовищі.
Практичні рекомендації для користувачів і організацій
Користувачам і компаніям, які покладаються на Notepad++ у щоденній роботі, варто виконати такі кроки:
- Оновитися до Notepad++ 8.8.9 або новішої версії, завантаживши інсталятор лише з офіційного сайту або GitHub-репозиторію проекту.
- Після завантаження перевіряти, що інсталятор має коректний цифровий підпис розробника.
- Не використовувати неофіційні сайти, торрент-трекери чи підозрілу рекламу для завантаження редактора — саме вони часто стають джерелом підроблених збірок.
- Періодично переглядати список довірених кореневих сертифікатів у системі й видаляти застарілі або невідомі записи.
- Застосовувати сучасні засоби захисту (EDR/антивірус), здатні виявляти аномалії на кшталт неочікуваного запуску curl.exe, створення підозрілих файлів у %Temp% або звернень до маловідомих зовнішніх сервісів.
Ситуація навколо Notepad++ наочно демонструє: навіть «звичайні» утиліти на кшталт текстового редактора можуть стати елементом складної атаки на ланцюг постачання ПЗ. Регулярне оновлення до актуальних версій, перевірка цифрових підписів, контроль джерел завантаження та гігієна керування сертифікатами — це мінімальний набір дій, який допомагає знизити ризики як для домашніх користувачів, так і для організацій будь-якого масштабу.
