Popüler kod düzenleyici Notepad++'ın geliştirici ekibi, geçtiğimiz Haziran ayında başlayan ve Haziran 2025'e kadar süren hedefli bir saldırıda güncelleme sunucularının ele geçirildiğini duyurdu. Bu saldırı, bazı kullanıcıların zararlı yazılımlar içeren güncellemeler almasına neden oldu.
Notepad++ tarafından yapılan açıklamada, saldırganların "muhtemelen Çin devlet destekli bir grup" olduğu ve belirli kullanıcıların güncelleme isteklerini manipüle ederek kendi kontrolündeki sunuculara yönlendirdiği belirtildi. Bu sayede, kurbanlara normal sürüm yerine trojan içeren bir yükleyici gönderildi.
Saldırının "hedefli" olduğu ve kullanıcıların "seçici olarak yönlendirildiği" vurgulandı. Resmi web sitesinden doğrudan yükleyici indiren kullanıcılar bu durumdan etkilenmezken, yerleşik güncelleme mekanizmasını kullananlar risk altında kaldı. Saldırganların, güncelleme hizmetinin kullandığı barındırma katmanında trafikleri keserek gerçek zamanlı olarak hedefleri ayırt edebildikleri düşünülüyor.
Notepad++'ın eski paylaşımlı barındırma sağlayıcısına göre, "getDownloadUrl.php" dosyasının barındırıldığı sunucu 2 Eylül'e kadar saldırganların kontrolündeydi. Ancak, sunucu güncellemeleri sonrasında doğrudan erişimleri engellense de, saldırganlar 2 Aralık'a kadar sunucudaki dahili hizmetler için geçerli kimlik bilgileri bulundurarak bazı güncelleme trafiklerini yönlendirmeye devam etti. Barındırma sağlayıcısı, saldırganların özellikle Notepad++ alan adını hedef aldığını ve aynı sunucudaki diğer müşterilere ilgi göstermediğini belirtti.
Bu saldırı, bağımsız güvenlik araştırmacıları tarafından Lotus Blossom adlı, uzun süredir faaliyet gösteren ve Güneydoğu Asya ile Orta Amerika'daki hükümetleri, telekomünikasyon şirketlerini, medyayı ve havacılık sektörlerini hedef aldığı bilinen bir Çin casusluk grubuyla ilişkilendirildi. Yapılan incelemelerde, Notepad++ altyapısının sofistike bir şekilde ele geçirildiği ve daha önce bilinmeyen özel bir arka kapı yazılımı dağıtmak için kullanıldığı tespit edildi.
Notepad++ ekibi, bu olay üzerine daha sıkı doğrulama kontrolleri getirdi. Artık indirilen yükleyicilerin hem dijital imzasını hem de sertifikasını doğrulayan bu önlemler, doğrulama başarısız olursa güncellemelerin ilerlemesini engelliyor. Resmi web sitesinden indirme yapanlar etkilenmezken, yerleşik güncelleyiciyi kullananlar en son sürüme güncelleyerek gelecekteki güncellemeler için bu ek güvenliği sağlayabilirler.
