Notepad++ kullanıcıları, geçen yıl paylaşılan barındırma sunucularının ele geçirilmesi sonucunda istemeden zararlı bir güncellemeyi indirmiş olabilir. Uygulamanın geliştiricisi Don Ho, saldırıyla ilgili daha fazla detay içeren bir güncelleme yaptı. Hacklenmiş sunucuların “muhtemelen Çin devlet destekli bir grup” tarafından kontrol edildiğini ve uygulamanın sunucularının yaklaşık altı ay boyunca hâkimiyet altında olduğunu belirtti.
Yapılan paylaşımda, saldırının uygulamanın ismi açıklanmayan, artık mevcut olmayan barındırma sağlayıcısında gerçekleştiği belirtiliyor. “Belirli hedeflenmiş kullanıcıların trafiği, saldırgan kontrolündeki sunuculara yönlendirildi.” ifadesi dikkat çekiyor. Mağdurlar yönlendirildiğinde, uygulama güncellemeleri, bağımsız siber güvenlik uzmanı Kevin Beaumont’a göre, saldırganlara mağdurun klavyesine uzaktan erişim sağlayabilecek bir zararlı yürütülebilir dosya ile değiştiriliyordu.
Don Ho, saldırının “son derece seçici hedefleme” içerdiğini ve zarar görenlerin Notepad++’ın resmi web sitesinden uzaklaştırıldığını ifade etti. Kevin Beaumont, görüştüğü mağdurların “Doğu Asya’da çıkarları olan [kurumlar]” olduğunu aktarıyor. Dolayısıyla bu ciddi bir güvenlik açığı olsa da, saldırganların yalnızca rastgele kişileri değil, belirli hedefleri izleme niyetinde oldukları düşünülebilir.
Geliştirici, saldırının ne zaman farkına vardıklarını belirtmedi, ancak “tüm saldırgan erişimlerinin kesin bir şekilde sonlandırıldığını” 2 Aralık itibarıyla ifade etti. Notepad++ güncelleyicisi, kötüye kullanımı kontrol etmek ve güncellemelerin geçerliliğini doğrulamak için güçlendirilmiş güvenlik önlemleriyle güncellendi.
Notepad++ kullanıcılarının, saldırıdan kaynaklanan güvenlik açıklarını gideren en az 8.8.9 sürümünde olduklarından emin olmaları gerekiyor. Bu sürüm, Notepad++ resmi web sitesinden doğrudan indirilmelidir. Ayrıca, Kevin Beaumont kullanıcıların resmi olmayan bir Notepad++ sürümünü kullanmadıklarından emin olmalarını, “gup.exe” adlı güncelleyicinin aktivitelerini gözlemlemelerini ve TEMP klasörlerinde şüpheli “update.exe” veya “AutoUpdater.exe” dosyalarının bulunmadığını kontrol etmelerini önerdi.
Notably, Don Ho, Notepad++’ın geliştiricisi, 2019 yılında bir uygulama güncellemesinde Çin hükümetini eleştirmişti. O sürümü “Özgür Uygur” edisyonu olarak adlandıran Ho, o dönemde The Verge‘e web sitesinin DDoS saldırılarına maruz kaldığını belirtmişti.
