رسوایی امنیتی ++Notepad؛ هکرها ۶ ماه کنترل سرور آپدیت را در دست داشتند

اگر از کاربران Notepad++ هستید، باید نگران امنیت آپدیت‌های خود باشید. گزارش‌ها حاکی از آن است که هکرها با نفوذ به سرورهای بروزرسانی این ابزار، برای بیش از ۶ ماه بدافزارهایی را راهی سیستم قربانیان خود می‌کرده‌اند.

توسعه‌دهنده ویرایشگر محبوب کد Notepad++، فاش کرد که مهاجمان موفق شده‌اند مکانیزم به‌روزرسانی این نرم‌افزار را هک کرده و ترافیک کاربران را برای دانلود بدافزار به سرورهای مخرب تغییر مسیر دهند.

دان هو (Don Ho)، خالق Notepad++، در بیانیه‌ای اعلام کرد:

این حمله شامل یک نفوذ در سطح زیرساخت بوده که به عوامل مخرب اجازه داده است ترافیک به‌روزرسانی‌هایی را که مقصدشان notepad-plus-plus.org بوده، شنود و منحرف کنند.

او تأکید کرد که این نفوذ از طریق هک زیرساخت شرکت ارائه دهنده خدمات هاستینگ رخ داده و ناشی از آسیب‌پذیری در کدهای خود نرم‌افزار Notepad++ نبوده است. مکانیزم دقیق اجرای این حمله همچنان در دست بررسی است.

نقص در تأیید هویت آپدیت‌ها

این خبر در حالی منتشر می‌شود که حدود یک ماه پیش، نسخه 8.8.9 این نرم‌افزار برای رفع مشکلی منتشر شد که باعث می‌شد ترافیک ابزار آپدیت‌کننده Notepad++ به نام WinGUp گاهی به سمت به دامنه‌های مخرب هدایت شده و منجر به دانلود فایل‌های اجرایی آلوده شود.

مشکل اصلی از نحوه تأیید یکپارچگی و اصالت فایل‌های به‌روزرسانی توسط نرم‌افزار آپدیت‌کننده سرچشمه می‌گرفت. این ضعف به مهاجمانی که قادر به شنود ترافیک شبکه بین کاربر و سرور آپدیت بودند، اجازه می‌داد تا ابزار را فریب داده و فایل‌های آلوده را جایگزین نسخه اصلی کنند.

حملات هدفمند و ردپای هکرهای چینی

تحقیقات نشان می‌دهد که تنها ترافیک گروه خاصی از کاربران به سرورهای جعلی هدایت شده و بدافزار را دریافت کرده‌اند. ارزیابی‌ها حاکی از آن است که این عملیات از خرداد ۱۴۰۴ آغاز شده و بیش از شش ماه پیش از کشف، در جریان بوده است.

کوین بومانت (Kevin Beaumont)، پژوهشگر امنیت سایبری، می‌گوید که این نقص توسط یک گروه هکری چینی برای نفوذ به شبکه‌ها مورد بهره‌برداری قرار گرفته است. این حملات که به گروهی به نام Violet Typhoon یا APT31 نسبت داده می‌شود، سازمان‌های مخابراتی و خدمات مالی در شرق آسیا را هدف قرار داده است.

تغییر زیرساخت و مهاجرت سرورها

در واکنش به این حادثه امنیتی، وب‌سایت Notepad++ به یک ارائه‌دهنده میزبانی جدید با استانداردهای امنیتی قوی‌تر منتقل شده و فرآیند به‌روزرسانی با لایه‌های محافظتی اضافی برای تضمین یکپارچگی فایل‌ها تقویت شده است.

توسعه دهنده اصلی Notepad++ در این باره می‌گوید:

طبق گفته ارائه‌دهنده هاستینگ قبلی، سرور اشتراکی تا دوم سپتامبر ۲۰۲۵ (۱۱ شهریور ۱۴۰۴) در اختیار مهاجمان بوده است. اما حتی پس از قطع دسترسی به سرور، مهاجمان تا دوم دسامبر ۲۰۲۵ (۱۱ آذر ۱۴۰۴) همچنا می‌توانستند ترافیک به‌روزرسانی Notepad++ را به سرورهای مخرب هدایت کنند.

اگر شما هم از Notepad++ استفاده می‌‌کردید بهتر است آخرین نسخه آن را مستقیما از وبسایت پروژه دانلود کنید.