Siber Güvenlik

Acil: Notepad++ Barındırma İhlali Çin Bağlantılı Lotus Blossom Grubu ile İlgili

teknomers
teknomers

Giriş

Çin ile bağlantılı bir tehdit aktörü olan Lotus Blossom, Notepad++ yazılımının barındırdığı altyapıda bir güvenlik açığı keşfetti. Bu durum, kullanıcılarına, daha önce belgelenmemiş bir arka kapı olan Chrysalis‘ı sunabilme imkanı tanıdı.

Contents

Saldırı Nasıl Çalışıyor?

Saldırı, Notepad++’ın güncellemeleri sırasında barındırma sağlayıcısındaki bir ihlal sayesinde başladı. Söz konusu ihlal, Haziran 2025 itibarıyla güncelleme trafiğinin yönlendirilmesine yol açtı. Güncelleme doğrulama kontrollerinde bulunan yetersizlikler kullanılarak belirli kullanıcıların kötü niyetli sunuculara yönlendirilerek manipüle edilmiş güncellemeler sağlaması sağlandı.

Bu saldırı sonucunda, 2 Aralık 2025’te saldırganların erişiminin kesilmesiyle Notepad++ daha güvenli bir barındırma sağlayıcısına geçiş yaptı ve tüm kimlik bilgilerini değiştirdi.

Etkilenen Sistemler

Notepad++’ın eski sürümleri, saldırı sürecinde hedef alındı. Özel olarak, aşağıdaki bileşenler kötü niyetli yazılım paketinde yer aldı:

  • Update.exe: Nullsoft Scriptable Install System (NSIS) yükleyicisi.
  • BluetoothService.exe: Bitdefender Submission Wizard’ın yeniden adlandırılmış hali, DLL yan yükleme için kullanılıyor.
  • BluetoothService: Chrysalis kodlu şifreli shellcode.
  • log.dll: Shellcode’u şifre çözümlemek ve çalıştırmak için kullanılan kötü niyetli bir DLL.

Çözüm ve Korunma

Chrysalis, sistem bilgilerini toplama ve dış sunucularla iletişim kurma yeteneğine sahip bir zararlı yazılımdır. Geçmiş analizler, güncelleme mekanizmasının kötüye kullanıldığına dair bir kanıt bulamamıştır, ancak üç ana nokta göz önünde bulundurulmalıdır:

  • Notepad++ kullanıcılarının, 8.8.9 ve sonrasındaki sürümlere geçiş yapması önemle tavsiye edilir.
  • Güncellemelerin yalnızca resmi kaynaklardan yapılması gerekmektedir.
  • BT güvenlik politikalarının güncellenmesi ve geliştirilen savunma mekanizmalarının güçlendirilmesi gereklidir.

Aksiyon

Okuyucuların, Notepad++’ı derhal en son sürüme güncellemeleri, resmi web sitesi dışındaki kaynaklardan güncelleme yapmaktan kaçınmaları ve güvenlik yazılımlarını güncellemeleri önemlidir. Potansiyel saldırı vektörlerine karşı dikkatli olunmalı ve kullanılmayan portlar kapatılmalıdır.

Leonard Bernstein’ın Çocukları, Karısının Biseksüelliğiyle İlgili Konunun Ne Olduğunu Tam Olarak Bildiğini Söyledi
Çinli hackerlar, Trimble Cityworks açığını kullanarak ABD hükümet ağlarına sızdı.
Tespitten Kurtulmak İçin Değiştirilen Saldırıya Uğramış Cisco Cihazlarına Arka Kapı Yerleştirildi
Citrix Bleed 2 açığı, token hırsızlığını sağlıyor; SAP GUI açıkları hassas verileri tehlikeye atıyor.
PixieFail UEFI Kusurları Milyonlarca Bilgisayarı RCE, DoS ve Veri Hırsızlığına Maruz Bırakıyor
ETİKETLENDİ:
Bu Makaleyi Paylaş
Önceki Makale Walmart, MSI RTX 5070’li Katana 15 HX’de 200$ indirim yaptı
Sonraki Makale Ubisoft’ta Eleştiriden Dolayı Bir Yönetici Görevden Alındı

Sanal Medya

Son Eklenenler

Dan Greaney’nin İlk Başkanlık Kampanya Mitingi: Şaka Değil!
Genel
$6000 kamyon oyun sistemine büyük güncelleme: Yeni koltuk ve aksesuarlar
Donanım
Xbox Game Pass PC’de Hala Canlı; Bunun Nedeni Microsoft Değil
Oyun
Sosyal Medya: Gelecek Nesil Uygulamalarla Tanışın
Genel
Acil: ChatGPT Kapatma Modu ile Veri Sızıntı Riskini Azaltın
Siber Güvenlik
Shelbyville Belediye Başkanı: Sadece Kötü Evde Olanlar Veri Merkezine Karşı
Liste