نفوذ هدفمند به سازوکار به‌روزرسانی Notepad++ و توزیع بدافزار به کاربران خاص

در یکی از نگران‌کننده‌ترین رویدادهای امنیت نرم‌افزارهای متن‌باز در ماه‌های اخیر، توسعه‌دهنده اصلی Notepad++ تأیید کرده است که مکانیزم رسمی به‌روزرسانی این ویرایشگر محبوب، توسط مهاجمان احتمالاً وابسته به یک دولت مورد سوءاستفاده قرار گرفته و برای توزیع بدافزار به گروهی محدود از کاربران استفاده شده است.

نفوذ در سطح زیرساخت، نه کد منبع

بر اساس توضیحات نگه‌دارنده پروژه، این حمله ناشی از یک نفوذ در سطح زیرساخت میزبانی (Hosting Provider) بوده و هیچ آسیب‌پذیری مستقیمی در کد منبع Notepad++ شناسایی نشده است. مهاجمان با در اختیار گرفتن بخشی از زیرساخت میزبانی، موفق شده‌اند ترافیک به‌روزرسانی را رهگیری کرده و آن را به سرورهای مخرب هدایت کنند.

ضعف در اعتبارسنجی به‌روزرسانی‌ها

ریشه اصلی این حمله به نحوه بررسی یکپارچگی (Integrity) و اصالت (Authenticity) فایل‌های به‌روزرسانی توسط ابزار WinGUp بازمی‌گردد. این ضعف به مهاجمان اجازه می‌داد در صورت دسترسی به مسیر ارتباطی بین کلاینت و سرور، فایل اجرایی آلوده‌ای را به‌جای نسخه اصلی در اختیار کاربر قرار دهند.

حمله‌ای کاملاً هدفمند

بررسی‌ها نشان می‌دهد که این حمله به‌صورت گسترده انجام نشده و تنها ترافیک برخی کاربران خاص به سرورهای جعلی هدایت شده است؛ موضوعی که نشان‌دهنده یک عملیات هدفمند (Targeted Attack) و احتمالاً با اهداف جاسوسی یا نفوذ شبکه‌ای است. برآوردها حاکی از آن است که این عملیات از ژوئن ۲۰۲۵ آغاز شده و بیش از شش ماه بدون شناسایی ادامه داشته است.

ارتباط با بازیگران تهدید دولتی

یک پژوهشگر مستقل امنیت سایبری اعلام کرده که شواهد فنی این حمله به گروه‌های تهدید مستقر در چین اشاره دارد که از این روش برای نفوذ به شبکه‌ها و فریب قربانیان جهت نصب بدافزار استفاده کرده‌اند.

اقدامات اصلاحی

در واکنش به این حادثه، وب‌سایت رسمی Notepad++ به یک ارائه‌دهنده میزبانی جدید منتقل شده است. همچنین مشخص شده که سرور میزبانی قبلی تا سپتامبر ۲۰۲۵ در وضعیت نفوذ قرار داشته و مهاجمان حتی پس از قطع دسترسی مستقیم، تا دسامبر ۲۰۲۵ همچنان به برخی سرویس‌های داخلی دسترسی داشته‌اند.

جمع‌بندی و توصیه امنیتی

این حادثه بار دیگر نشان می‌دهد که امنیت زنجیره تأمین نرم‌افزار (Software Supply Chain) حتی برای پروژه‌های متن‌باز شناخته‌شده نیز یک چالش جدی است. به مدیران فناوری اطلاعات و تیم‌های امنیتی توصیه می‌شود:

  • به‌روزرسانی نرم‌افزارها را صرفاً از منابع معتبر و همراه با اعتبارسنجی قوی انجام دهند
  • رفتارهای غیرعادی در ترافیک به‌روزرسانی را مانیتور کنند
  • از راهکارهای EDR و IDS برای شناسایی اجرای فایل‌های مشکوک استفاده نمایند

این رویداد می‌تواند زنگ خطری جدی برای بازنگری در اعتماد بی‌قیدوشرط به مکانیزم‌های به‌روزرسانی خودکار باشد.

اشتراک گذاری

Facebook
Twitter
WhatsApp
Telegram

نظرات

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *