در روزهای اخیر خبر نگرانکنندهای در دنیای امنیت سایبری منتشر شد: آپدیتر رسمی و داخلی نرمافزار محبوب Notepad++ به بدافزار آلوده شده است و این موضوع باعث نصب فایلهای مخرب روی سیستم برخی کاربران شده است. توسعهدهنده این ویرایشگر متن متنباز، با انتشار نسخه ۸.۸.۹ این نقص امنیتی را برطرف کرده و کاربران را به بهروزرسانی فوری دعوت نموده است.
در این مقاله بهصورت کامل و تخصصی به جزئیات حمله، نحوه سوءاستفاده از آپدیتر، دامنه آلودگی، نشانههای نفوذ (IOC) و اقدامات ایمنسازی میپردازیم.
Notepad++ چگونه به بدافزار آلوده شد؟
طبق اطلاعیه رسمی منتشرشده توسط Don Ho توسعهدهنده Notepad++، برخی کارشناسان امنیت سایبری گزارش دادهاند که ترافیک اینترنتی مربوط به بهروزرسانی Notepad++ مورد حمله قرار گرفته است. در این حمله، مهاجمان موفق شدهاند مسیر دانلود آپدیتها را به سرورهای مخرب هدایت کنند و در نتیجه، بهجای نسخه سالم، فایل اجرایی آلوده به بدافزار روی سیستم کاربران دانلود و اجرا شده است.
ابزار بهروزرسانی داخلی این نرمافزار با نام WinGUp (یا gup.exe) وظیفه بررسی نسخه جدید را بر عهده دارد. این ابزار از طریق آدرس زیر نسخه جدید را بررسی میکند:
پس از دریافت یک فایل XML، لینک دانلود نسخه جدید استخراج شده و فایل در مسیر %TEMP% ذخیره و اجرا میشود. حال اگر مهاجم بتواند این ترافیک را دستکاری کند (Traffic Hijacking)، میتواند لینک دانلود را به فایل مخرب تغییر دهد.
نقش گواهیهای امنیتی در این حمله
یکی از نقاط ضعف مهم Notepad++ تا نسخه ۸.۸.۷ استفاده از گواهیهای خودامضا (Self-Signed Certificate) بوده است. این گواهیها امکان سوءاستفاده و جعل فایلهای اجرایی را برای مهاجمان فراهم میکرد.
از نسخه ۸.۸.۷ به بعد، Notepad++ بهطور رسمی از گواهی دیجیتال GlobalSign استفاده میکند و دیگر نیازی به نصب گواهی ریشه اختصاصی نیست. با این حال، مهاجمان همچنان از ضعف در مسیر انتقال داده (MITM / Traffic Hijacking) برای آلودهسازی استفاده کردهاند.
چه سازمانهایی هدف حمله قرار گرفتند؟
Kevin Beaumont پژوهشگر مطرح امنیت سایبری اعلام کرده است که حداقل سه سازمان فعال در جنوب آسیا بهصورت هدفمند قربانی این حمله شدهاند. این موضوع نشان میدهد که حمله صرفاً تصادفی نبوده و یک عملیات هدفمند سایبری (Targeted Attack) در جریان بوده است.
نشانههای آلودگی (Indicators of Compromise – IOC)
اگر شما یا سازمانتان از Notepad++ استفاده میکنید، بررسی شاخصهای زیر میتواند نشانهای از آلودگی باشد:
برقراری ارتباط gup.exe با دامنههایی غیر از:
- notepad-plus-plus.org
- github.com
- release-assets.githubusercontent.com
اجرای پردازشهای مشکوک توسط gup.exe
در حالت عادی فقط باید پردازشهای زیر اجرا شوند:
- explorer.exe
- فایلهای نصب مرتبط با npp
وجود فایلهای مشکوک در مسیر %TEMP%
مانند:
- update.exe
- AutoUpdater.exe
(این نامها رسماً توسط Notepad++ استفاده نمیشوند)
فایل نصبی بدون امضای GlobalSignاز نسخه ۸.۸.۸ به بعد، تمام فایلها باید با گواهی معتبر GlobalSign امضا شده باشند.
نسخههای ایمن Notepad++ کدامند؟
توسعهدهنده این نرمافزار دو بهروزرسانی امنیتی منتشر کرده است:
- نسخه ۸.۸.۸:
تغییر منبع دانلود آپدیتها به GitHub بهصورت اجباری - نسخه ۸.۸.۹:
بررسی دقیق امضای دیجیتال و اعتبار گواهی فایلهای دانلودشده پیش از اجرا
در صورت عدم تطابق امضا، فرآیند آپدیت بهطور کامل متوقف میشود
در حال حاضر:
- آپدیتر داخلی نسخه ۸.۸.۸ هنوز نسخه ۸.۸.۹ را شناسایی نمیکند
- ابزار winget نیز هنوز بهروزرسانی نشده است
- دانلود دستی از سایت رسمی Notepad++ تنها روش امن موجود است
چرا Notepad++ هدف حملات سایبری قرار میگیرد؟
Notepad++ یکی از محبوبترین و پرکاربردترین ویرایشگرهای متن در جهان است که میلیونها توسعهدهنده، ادمین شبکه و متخصص امنیت از آن استفاده میکنند. این گستردگی استفاده، آن را به یک هدف ایدهآل برای حملات زنجیره تأمین (Supply Chain Attack) تبدیل میکند.
در سال گذشته نیز وبسایتی جعلی شناسایی شد که با سوءاستفاده از نتایج جستجوی گوگل، کاربران را بهجای سایت اصلی به صفحات آلوده هدایت میکرد. چنین حملاتی نشان میدهد که مهاجمان سرمایهگذاری جدی روی جعل بستههای نصبی نرمافزارهای متنباز محبوب انجام میدهند.
چه اقداماتی برای افزایش امنیت توصیه میشود؟
برای محافظت از سیستم در برابر این نوع حملات، اقدامات زیر بهشدت توصیه میشود:
- بهروزرسانی فوری به نسخه ۸.۸.۹
- حذف کامل نسخههای قدیمی و نصب مجدد از منبع رسمی
- بررسی لاگهای فایروال و آنتیویروس برای ارتباطات مشکوک gup.exe
- اجرای اسکن کامل بدافزار با آنتیویروس معتبر
- محدودسازی دسترسی ابزارهای آپدیت از طریق فایروال سازمانی
- استفاده از DNS امن و جلوگیری از MITM
در محیطهای سازمانی، پیشنهاد میشود دریافت و نصب بروزرسانیها فقط از طریق مخزن داخلی امن (Internal Repository) انجام شود.
حادثه اخیر نشان داد که حتی نرمافزارهای متنباز معتبر نیز از تهدیدات زنجیره تأمین در امان نیستند. آلودگی آپدیتر Notepad++ به بدافزار، زنگ خطر جدی برای کاربران خانگی و سازمانی محسوب میشود. خوشبختانه با انتشار نسخه ۸.۸.۹ این نقص تا حد زیادی برطرف شده است، اما مسئولیت اصلی همچنان بر عهده کاربران و مدیران شبکه است تا با بهروزرسانی منظم، بررسی امضاهای دیجیتال و رعایت اصول امنیت سایبری از سیستمهای خود محافظت کنند.
اگر شما نیز از کاربران Notepad++ هستید، همین حالا نسخه خود را بررسی کرده و در صورت نیاز بهصورت دستی به آخرین نسخه ارتقا دهید تا از هرگونه آلودگی احتمالی جلوگیری شود.
