Хакеры атаковали Notepad++ и полгода отправляли троян под видом обновлений

Команда разработчиков текстового редактора Notepad++ завершила исследование атаки, в результате которой пользователи операционной системы Windows полгода вместо обновлений получали вирусные файлы.

Киберпреступники произвели взлом сервера, который использовался для размещения инфраструктуры обновлений приложения. Проникновение на сервер произошло в июне прошлого года. В результате злоумышленники начали перехватывать поток данных, направляемый на доменное имя notepad-plus-plus.org, и выборочно перенаправлять его на ресурсы с вредоносным программным обеспечением. Замена файлов происходила лишь у части пользователей, что значительно затруднило выявление атаки на ранних стадиях.

Распространению вредоносного ПО способствовала брешь в безопасности утилиты WinGUp, отвечающей за загрузку и установку обновлений Notepad++. Полное устранение этой уязвимости было произведено лишь в декабре с выходом обновления.

Узнав о взломе, хостинг-провайдер незамедлительно приступил к ликвидации последствий. Зараженные трояном данные переместили на другой сервер, уязвимость устранили, все учётные записи, которые могли быть скомпрометированы, заблокировали. Основные работы по восстановлению инфраструктуры были завершены в начале декабря.

Специалисты допустили, что за атакой стояли структуры, имеющие связь с правительством Китая. В качестве аргумента был приведен избирательный характер распространения вредоносного кода.