Инфраструктуру обновлений Notepad++ скомпрометировали хакеры
3 мин
29
Разработчики Notepad++ сообщили о компрометации инфраструктуры обновлений. Инцидент произошёл на уровне хостинг-провайдера и длился с июня по сентябрь 2025 года, но злоумышленники сохраняли доступ к внутренним службам до декабря.
Исследователи кибербезопасности изучили телеметрию и обнаружили несколько уникальных цепочек атак. Под удар попали десять компьютеров из Вьетнама, Сальвадора и Австралии, правительственная организация на Филиппинах, финансовая компания в Сальвадоре и ИТ-провайдер во Вьетнаме.
Первая волна стартовала в конце июля. Вредоносный update.exe загружался с адреса 45.76.155[.]202. Файл оказался установщиком NSIS размером около 1 МБ. При запуске он собирал системную информацию командой whoami&&tasklist и загружал результаты на хостинг temp[.]sh. Адрес файла передавался на командный сервер через заголовок User-Agent.
После отправки данных установщик размещал файлы в каталоге %appdata%\ProShow, включая легитимный ProShow.exe. Вместо стандартного DLL sideloading злоумышленники использовали старую уязвимость в ProShow, известную с начала 2010-х. Файл load содержал эксплойт с двумя шелл-кодами. Первый был заглушкой для усложнения анализа, второй расшифровывал загрузчик Metasploit, который загружал Cobalt Strike Beacon с адреса 45.77.31[.]210. Нагрузка связывалась с командным сервером cdncheck.it[.]com.
В середине сентября злоумышленники запустили вторую цепочку. Update.exe уменьшился до 140 КБ. Системная информация собиралась в %APPDATA%\Adobe\Scripts командой whoami&&tasklist&&systeminfo&&netstat -ano. Нагрузка следующего этапа полностью изменилась — установщик размещал файлы интерпретатора Lua и зловредный скрипт alien.ini. Скрипт загружал в память шелл-код и запускал его через функцию API. Дальше снова использовались загрузчик Metasploit и Cobalt Strike Beacon, но уже с адреса cdncheck.it[.]com/users/admin.
В конце сентября атакующие разделили команду сбора информации на четыре группы. Затем появились новые адреса для загрузки данных и связи с Beacon.
В начале октября стартовала третья цепочка с нового адреса 45.32.144[.]255. На этот раз злоумышленники применили DLL sideloading — легитимный BluetoothService.exe загружал вредоносную log.dll, которая запускала зашифрованный шелл-код. Такие цепочки типичны для групп, общающихся на китайском языке. Конечной нагрузкой стал кастомный бэкдор Chrysalis. Исследователи Rapid7 наблюдали на заражённых машинах и Cobalt Strike Beacon с похожими адресами и конфигурацией.
В середине октября вернулась вторая цепочка, но уже с адреса 95.179.213[.]0. В конце месяца появились новые URL с того же сервера. С ноября новых развёртываний не зафиксировано.
Для поиска следов атаки эксперты рекомендуют проверить системы на установщики NSIS, журналы сетевого трафика на обращения к temp[.]sh, а также запуск команд разведки вроде whoami и netstat.
