Безопасность уровня «честное слово». Хакеры научились подменять официальные обновления Notepad++ на шпионский софт.
Неизвестный AutoUpdater.exe под видом обновления Notepad++ выполнял разведку Windows.
Notepad++ выпустил версию 8.8.9, чтобы закрыть слабое место в механизме обновления WinGUp (GUP.exe): исследователи и пользователи сообщали об инцидентах, когда обновлятор вместо легитимного инсталлятора подтягивал и запускал посторонний исполняемый файл из временной папки. В результате на заражённых машинах появлялся %Temp%\AutoUpdater.exe, который выполнял разведку системы и пытался унести собранные данные наружу.
Первый тревожный сигнал всплыл в теме на форуме сообщества Notepad++: по словам пользователя, неизвестный AutoUpdater.exe запускал команды вроде netstat -ano, systeminfo, tasklist, whoami, складывал вывод в файл a.txt, а затем отправлял его на сервис temp[.]sh через curl.exe. Так как WinGUp использует библиотеку libcurl (а не внешний curl.exe) и не должен заниматься сбором такой информации, участники обсуждения предположили либо установку «левой» сборки Notepad++, либо перехват/подмену трафика обновлений.
Сценарий с перехватом выглядит правдоподобно технически: при проверке обновлений Notepad++ обращается к https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<номер>, а сервер в ответ отдаёт XML с полем <Location>, где лежит ссылка на инсталлятор. Если кто-то способен вмешаться в цепочку доставки и заменить URL в <Location>, то обновлятор скачает «что сказали», а не то, что ожидалось.
На этом фоне эксперт Кевин Бьюмонт сообщил, что слышал как минимум о трёх организациях, где инциденты связывали с установленным Notepad++: по его словам, там наблюдалась активность уровня «hands-on keyboard» (ручная разведка уже внутри сети), а интересы пострадавших компаний были завязаны на Восточную Азию, что выглядит как точечный, а не массовый шум. В то же время он отдельно отмечал и более банальный вариант — распространение троянизированных сборок через рекламу и поддельные страницы загрузки, что для популярных утилит встречается регулярно.
Разработчик Notepad++ Дон Хо сначала выпустил 8.8.8 (18 ноября), чтобы «срезать» часть риска: обновления стали скачиваться только с GitHub. А в 8.8.9 (9 декабря) сделали более жёсткую защиту — теперь WinGUp проверяет подпись и сертификат загруженного инсталлятора, и если верификация не проходит, установка обновления прерывается. При этом команда проекта подчёркивает, что расследование причины подмены трафика продолжается.
Пользователям советуют обновиться до 8.8.9 и скачивать дистрибутивы только с официальных источников. В уведомлении также напоминают, что с версии 8.8.7 официальные бинарники и инсталляторы подписаны действующим сертификатом, а тем, кто когда-то ставил «кастомный» корневой сертификат ради старых сценариев, стоит удалить его, чтобы не расширять поверхность атаки.