Subskrybuj nas na Youtube
Zapisz się na newsletter
Złośliwy plik pod przykrywką aktualizacji
Mechanizm aktualizacji został przejęty bez ingerencji w kod aplikacji. Atakujący podszywali się pod oficjalny kanał Notepad++, co pozwoliło im dostarczyć zainfekowane instalatory tylko wybranym użytkownikom. „Z punktu widzenia bezpieczeństwa trzeba więc zakładać najgorszy scenariusz, że mógł to być loader, backdoor lub inne oprogramowanie zapewniające atakującym zdalny dostęp do systemów firm i instytucji” – wskazuje Aleksander Kostuch, inżynier w firmie "Stormshield"., europejskim producencie zaawansowanych technologii ochrony IT, specjalizujący się w firewallach, rozwiązaniach EDR i ochronie sieci. „Ta sytuacja jest wyzwaniem dla systemów bezpieczeństwa, by w porę zadziałać i zneutralizować podejrzany, nowy ruch sieciowy pojawiający się po infekcji urządzenia skażonym oprogramowaniem. [...] W tym przypadku podejrzane zachowanie to połączenie z innymi domenami niż oficjalne” – tłumaczy Kostuch.
/>
Co robić, jeśli zaktualizowałeś Notepad++ między czerwcem a grudniem 2025?
Eksperci są zgodni – komputer może być zainfekowany nawet po odinstalowaniu programu. „Malware mógł dodać własne mechanizmy uruchamiania przy starcie systemu, nowe usługi lub zaplanowane zadania. Dlatego to zdarzenie należy traktować jak pełnoprawny incydent bezpieczeństwa, a nie błąd aplikacji” – przestrzega ekspert Stormshield.
/>
Co powinieneś zrobić? Pierwszy krok to odłączenie maszyny od sieci. Następnie – przekazanie jej do specjalistycznej analizy. „Taka podstawowa kontrola w zasadzie jest wskazana w przypadku każdego użytkownika Notepad++, który we wskazanym okresie aktualizował to oprogramowanie” – zaleca Kostuch.
Jak chronić się przed podobnymi atakami w przyszłości?
Ten incydent pokazuje, jak niebezpieczne może być zaufanie do jednego źródła. „Problem nie polegał na samej funkcjonalności Notepad++, lecz na mechanizmie aktualizacji, który mógł zostać przekierowany na fałszywe serwery. W praktyce oznacza to, że użytkownik w dobrej wierze instalował coś, co wyglądało jak aktualizacja, a mógł przy tym pobrać zupełnie inny program” – komentuje Kostuch.
Jakie rozwiązania pomagają ograniczyć ryzyko? „Skutecznymi narzędziami pozwalającymi na minimalizację ryzyka w podobnych przypadkach byłyby rozwiązania EDR lub zaawansowane systemy ochrony antywirusowej stacji roboczych [...] Uzupełnieniem dla nich będą rozwiązania NDR, sprawdzające standardy ruchu sieciowego [...] z instrukcją dla firewall, by ten automatycznie (i prewencyjnie) blokował dane adresy” – wskazuje inżynier Stormshield.
Nowa wersja, nowe zabezpieczenia ale lekcja zostaje
Notepad++ w wersji 8.8.9 oraz nowszych wprowadził mechanizmy kryptograficznej walidacji aktualizacji. Zmieniono firmę hostingową, zabezpieczono serwery i wzmocniono kontrolę nad procesem aktualizacji. Ale to, co najważniejsze, to refleksja nad kruchym zaufaniem w świecie cyfrowym.
Ekspert Stormshield nie ma wątpliwości: „Ta sytuacja jest wyjątkiem od zasady, że dbałość o aktualne oprogramowanie pozostaje jedną z podstaw bezpieczeństwa. Pokazuje również, że zagrożenie może przyjść z najmniej spodziewanego kierunku [...] Incydent jest mocnym sygnałem, że wobec niestabilnej sytuacji geopolitycznej warto dywersyfikować dostawców i budować odporność organizacji w oparciu o europejskie technologie.”
