در یکی از نگرانکنندهترین رویدادهای امنیت نرمافزارهای متنباز در ماههای اخیر، توسعهدهنده اصلی Notepad++ تأیید کرده است که مکانیزم رسمی بهروزرسانی این ویرایشگر محبوب، توسط مهاجمان احتمالاً وابسته به یک دولت مورد سوءاستفاده قرار گرفته و برای توزیع بدافزار به گروهی محدود از کاربران استفاده شده است.
نفوذ در سطح زیرساخت، نه کد منبع
بر اساس توضیحات نگهدارنده پروژه، این حمله ناشی از یک نفوذ در سطح زیرساخت میزبانی (Hosting Provider) بوده و هیچ آسیبپذیری مستقیمی در کد منبع Notepad++ شناسایی نشده است. مهاجمان با در اختیار گرفتن بخشی از زیرساخت میزبانی، موفق شدهاند ترافیک بهروزرسانی را رهگیری کرده و آن را به سرورهای مخرب هدایت کنند.
ضعف در اعتبارسنجی بهروزرسانیها
ریشه اصلی این حمله به نحوه بررسی یکپارچگی (Integrity) و اصالت (Authenticity) فایلهای بهروزرسانی توسط ابزار WinGUp بازمیگردد. این ضعف به مهاجمان اجازه میداد در صورت دسترسی به مسیر ارتباطی بین کلاینت و سرور، فایل اجرایی آلودهای را بهجای نسخه اصلی در اختیار کاربر قرار دهند.
حملهای کاملاً هدفمند
بررسیها نشان میدهد که این حمله بهصورت گسترده انجام نشده و تنها ترافیک برخی کاربران خاص به سرورهای جعلی هدایت شده است؛ موضوعی که نشاندهنده یک عملیات هدفمند (Targeted Attack) و احتمالاً با اهداف جاسوسی یا نفوذ شبکهای است. برآوردها حاکی از آن است که این عملیات از ژوئن ۲۰۲۵ آغاز شده و بیش از شش ماه بدون شناسایی ادامه داشته است.
ارتباط با بازیگران تهدید دولتی
یک پژوهشگر مستقل امنیت سایبری اعلام کرده که شواهد فنی این حمله به گروههای تهدید مستقر در چین اشاره دارد که از این روش برای نفوذ به شبکهها و فریب قربانیان جهت نصب بدافزار استفاده کردهاند.
اقدامات اصلاحی
در واکنش به این حادثه، وبسایت رسمی Notepad++ به یک ارائهدهنده میزبانی جدید منتقل شده است. همچنین مشخص شده که سرور میزبانی قبلی تا سپتامبر ۲۰۲۵ در وضعیت نفوذ قرار داشته و مهاجمان حتی پس از قطع دسترسی مستقیم، تا دسامبر ۲۰۲۵ همچنان به برخی سرویسهای داخلی دسترسی داشتهاند.
جمعبندی و توصیه امنیتی
این حادثه بار دیگر نشان میدهد که امنیت زنجیره تأمین نرمافزار (Software Supply Chain) حتی برای پروژههای متنباز شناختهشده نیز یک چالش جدی است. به مدیران فناوری اطلاعات و تیمهای امنیتی توصیه میشود:
- بهروزرسانی نرمافزارها را صرفاً از منابع معتبر و همراه با اعتبارسنجی قوی انجام دهند
- رفتارهای غیرعادی در ترافیک بهروزرسانی را مانیتور کنند
- از راهکارهای EDR و IDS برای شناسایی اجرای فایلهای مشکوک استفاده نمایند
این رویداد میتواند زنگ خطری جدی برای بازنگری در اعتماد بیقیدوشرط به مکانیزمهای بهروزرسانی خودکار باشد.