Компрометирана инфраструктура за обновления на Notepad++ в целенасочена supply chain атака
Скорошно разследване свързва целенасочена supply chain атака срещу Notepad++ с държавно подкрепена група, известна като Lotus Blossom. Инцидентът включва злоупотреба с инфраструктурата за разпространение на обновления, което е позволило зловредни файлове да бъдат доставяни селективно до конкретни потребители за продължителен период.
Вместо да бъде използвана уязвимост в самия Notepad++, атакуващите са получили достъп на ниво хостинг инфраструктура. Това им е позволило да пренасочват заявки за обновяване от по-стари версии на редактора към контролирани от тях сървъри и да разпространяват непознат до момента заден достъп.
Какво се е случило
Наличните данни показват, че компрометирането е позволило намеса в трафика за обновления още от средата на 2025 г. Потребители, използващи по-стари версии на Notepad++ с по-слаби механизми за проверка на обновленията, са били селективно таргетирани и пренасочвани към зловредни източници.
Проблемът е отстранен през декември 2025 г. с излизането на версия 8.8.9, както и чрез пълна миграция към нов хостинг доставчик и смяна на всички идентификационни данни. Няма данни плъгин екосистемата или логиката на обновяване да са били директно компрометирани.
Зловреден код, доставен чрез доверени обновления
Анализът на зловредните файлове показва внедряването на персонализиран заден достъп, наречен Chrysalis. Зареждането е извършвано чрез модифициран процес на обновяване и изпълнение чрез доверени бинарни файлове и DLL side-loading техники.
След активиране имплантът е можел да събира системна информация, да комуникира с отдалечена командна инфраструктура, да изпълнява команди, да прехвърля файлове и да се самопремахва. Използваният подход комбинира собствено разработен зловреден код с добре познати инструменти от арсенала на държавно подкрепени групи.
Атрибуция и еволюция на техниките
Свързването на кампанията с Lotus Blossom се базира на сходства в инструменти, техники и модели на изпълнение, наблюдавани и в предишни операции на групата. Това включва използване на легитимни изпълними файлове за DLL side-loading и адаптиране на публично достъпни изследвания в собствени loader-и.
Операцията показва ясен фокус върху прикритие и дългосрочен достъп. Вместо масово разпространение, атаката разчита на селективно доставяне, честа смяна на инфраструктура и редовна промяна на инфекционните вериги с цел избягване на детекция.
Защо това е важно
Този инцидент подчертава постоянния риск в софтуерната верига на доставки. Механизмите за обновяване остават изключително ценна цел за напреднали заплахи.
Не е било необходимо взаимодействие от страна на потребителя извън стандартно обновяване. Няма фишинг. Няма експлойт. Единствено доверие в легитимен процес за актуализация.
За организациите това означава, че supply chain сигурността не се изчерпва с целостта на кода. Хостинг инфраструктурата, пътищата за доставка и наследените механизми за проверка са също толкова критични.
Гледната точка на DIAMATIX
От защитна гледна точка този случай затвърждава няколко ключови извода.
Supply chain рискът не засяга само големи търговски доставчици. Широко използвани open-source инструменти могат да се превърнат в стратегически входни точки, когато предположенията за доверие бъдат злоупотребени.
Организациите следва:
Да поддържат строг контрол върху източниците и проверките на софтуерни обновления
Да минимизират използването на стари версии и наследени update механизми
Да наблюдават изходящия update трафик за аномалии и неочаквани пренасочвания
Да третират инструментите за разработка като част от атакуваемата повърхност
Да включват supply chain риска в моделите за заплахи и готовността за инциденти
Съвременните атаки все по-често експлоатират доверие, а не уязвимости. Защитата изисква видимост върху начина, по който софтуерът се доставя, а не само как се изпълнява.
Trusted · Innovative · Vigilant
Използвани източници
Rapid7. Технически анализ на supply chain компрометирането на Notepad++
Публични изявления на поддържащия екип на Notepad++ относно пробива на ниво хостинг
Kaspersky. Анализ на многостепенни инфекционни вериги, свързани с инцидента
Индустриални доклади за активността на групата Lotus Blossom / Billbug
Получавайте актуални новини и експертни анализи за киберсигурност
