Notepad++ patří mezi nejpoužívanější textové editory na Windows a právě proto si ho dlouhodobě vybírají vývojáři, administrátoři i technici. O to citlivější je zjištění, že jeho aktualizační infrastruktura byla po dobu zhruba šesti měsíců kompromitována. Útok nezačal chybou v samotné aplikaci, ale na úrovni infrastruktury, která zajišťovala distribuci aktualizací.

Útočníci získali možnost zachytávat a přesměrovávat aktualizační provoz. Nešlo o plošnou nákazu, ale o pečlivě vybírané cíle. Někteří uživatelé byli nenápadně přesměrováni na falešné aktualizační servery, odkud si stáhli upravenou verzi programu. Ta obsahovala dříve neznámý škodlivý kód, který bezpečnostní analytici později pojmenovali Chrysalis.

Jak mohl útok projít bez povšimnutí

Klíčem byla kombinace starších mechanismů aktualizací a faktu, že provoz kolem oficiálních serverů Notepad++ je poměrně malý. Útočník s dostatečnými prostředky mohl zasahovat do přenosu dat a měnit cílové adresy aktualizací. Starší verze editoru navíc nepoužívaly tak přísné ověřování podpisů, jaké by dnes bylo standardem.

Podle informací od bezpečnostních výzkumníků šlo o sofistikovaný nástroj určený k dlouhodobému přístupu do napadených systémů. Společnost Rapid7 jej popsala jako plnohodnotný backdoor, nikoli jednorázový malware. Nezávislý analytik Kevin Beaumont zároveň upozornil, že v několika organizacích vedl tento útok k přímému ovládnutí počítačů útočníky.

Případ ukazuje slabinu, která se netýká jen jednoho programu. Otevřené projekty, na nichž stojí velká část moderní IT infrastruktury, často fungují s minimálním rozpočtem. Přitom se od nich očekává stejná úroveň zabezpečení jako od komerčních produktů velkých firem. Zde měl naštěstí příběh šťastný konec a problém se vyřešil. Pokud tak máte tuto aplikaci ve svém PC, doporučuje se samozřejmě její aktualizace co nejdříve.