Notepad++ violato in silenzio, milioni di utenti esposti a gravi rischi

Notepad++ violato in silenzio, milioni di utenti esposti a gravi rischi

Attacco mirato alla filiera di aggiornamento di Notepad++

L’attacco informatico che ha preso di mira gli utenti di Notepad++ ha colpito il cuore della catena di aggiornamento, trasformando un editor open source in potenziale vettore di malware. Per circa sei mesi, un’infrastruttura di hosting compromessa ha permesso a un gruppo avanzato di minaccia di distribuire eseguibili manomessi verso un numero limitato ma altamente selezionato di bersagli.

Compromissione dell’hosting condiviso e tecnica di reindirizzamento

I server di hosting condiviso utilizzati dal progetto Notepad++ sono stati compromessi dal giugno 2025 al 2 dicembre. Gli attaccanti hanno inserito un sistema di reindirizzamento selettivo che intercettava le richieste di aggiornamento di specifici indirizzi IP. Ogni tre richieste legittime, una veniva dirottata verso manifest malevoli, in un classico attacco man-in-the-middle a livello infrastrutturale.

Questa architettura ha permesso di sostituire in modo trasparente l’updater ufficiale con eseguibili falsi, mantenendo intatto il resto del traffico per ridurre gli indicatori di compromissione e sfuggire ai controlli automatici di sicurezza.

Malware con accesso remoto alla tastiera e furto di credenziali

L’analisi condotta dal ricercatore di sicurezza Kevin Beaumont indica che il payload installato tramite l’updater malevolo includeva funzionalità di keylogging e accesso remoto alla tastiera. Gli attaccanti potevano registrare password, credenziali di accesso a VPN, sistemi aziendali e strumenti di sviluppo. In alcuni casi, moduli aggiuntivi attivavano comunicazioni cifrate verso server di comando e controllo esterni.

La telemetria disponibile suggerisce che l’operazione privilegiava la persistenza silenziosa e la raccolta di informazioni, evitando comportamenti rumorosi tipici di ransomware o trojan bancari, coerentemente con uno scenario di spionaggio mirato di lungo periodo.

Target geopolitici e sospetti di sponsorizzazione statale

Le vittime individuate appartengono a organizzazioni con interessi economici, politici o tecnologici nell’Asia orientale, secondo quanto documentato da Beaumont. La selettività del targeting e la natura dell’infrastruttura usata rinforzano l’ipotesi di un gruppo sponsorizzato da un governo, verosimilmente legato alla Cina, come dichiarato dallo sviluppatore Don Ho.

Selezione chirurgica degli obiettivi e profilo delle organizzazioni colpite

Le richieste di aggiornamento provenienti dalla maggior parte degli utenti globali non venivano alterate. Il reindirizzamento malevolo era limitato a segmenti ristretti di rete appartenenti a aziende energetiche, gruppi industriali, media e istituti di ricerca con focus sull’Asia orientale. Questa precisione operativa riduce il rumore negli indicatori di compromissione e massimizza il valore informativo sottratto.

La scelta di un editor di testo diffuso come Notepad++ consente di penetrare in postazioni di sviluppatori, analisti e amministratori di sistema, spesso dotati di privilegi elevati e accesso a infrastrutture critiche.

Il precedente attivista “Free Uyghur” e il possibile movente

Nel 2019 Don Ho aveva pubblicato una release denominata “Free Uyghur”, criticando pubblicamente il governo di Pechino per la repressione della minoranza uigura. Tale presa di posizione aveva scatenato massicci attacchi DDoS contro il sito del progetto. Il nuovo episodio di compromissione, collegato a interessi strategici nell’Asia orientale, viene letto da più analisti come potenziale ritorsione evoluta.

Pur mancando una prova definitiva di attribuzione, la combinazione di movente politico, selettività geopolitica delle vittime e risorse tecniche impiegate è coerente con il modus operandi di gruppi di cyber-spionaggio sponsorizzati da stati nazionali.

Misure di mitigazione, nuova versione e controlli sugli endpoint

La risposta del team di sviluppo ha portato a una revisione completa del sistema di aggiornamento e alla distribuzione della versione 8.8.9, considerata oggi baseline di sicurezza minima per gli utenti di Notepad++. La priorità è ridurre la superficie di attacco lungo tutta la filiera, dall’hosting alla validazione crittografica degli eseguibili.

Nuovo sistema di firme digitali e integrità degli aggiornamenti

La versione 8.8.9 introduce firme digitali rafforzate, controlli di integrità sui pacchetti e verifica dell’origine tramite chiavi crittografiche custodite fuori dai server di hosting. Gli aggiornamenti vengono autenticati end-to-end, impedendo sostituzioni trasparenti dei file anche in caso di compromissione futura dell’infrastruttura.

Gli utenti sono invitati a scaricare l’installer esclusivamente dal sito ufficiale di Notepad++ e a diffidare di repository non certificati, mirror non autorizzati e versioni “portable” di provenienza incerta, spesso escluse dai cicli regolari di patching di sicurezza.

Verifiche sul processo gup.exe e ricerca di eseguibili sospetti

Particolare attenzione va riservata al processo gup.exe, updater legittimo dell’applicazione. Gli esperti consigliano di monitorare connessioni di rete anomale e consumi inusuali di risorse tramite Task Manager e strumenti di analisi del traffico. Nella cartella TEMP di Windows è opportuno individuare eventuali file “update.exe” o “AutoUpdater.exe”, che non appartengono alla normale architettura del programma.

In contesti aziendali, si raccomanda scansione con soluzioni EDR, controllo centralizzato delle versioni installate e inventario di tutte le build di Notepad++ presenti, con rimozione immediata di release non ufficiali o prive della firma attesa.

FAQ

Che cosa è successo agli aggiornamenti di Notepad++?

Un gruppo di attaccanti ha compromesso i server di hosting condiviso usati dal progetto, inserendo un reindirizzamento selettivo che sostituiva i normali aggiornamenti con versioni manomesse contenenti malware per un numero limitato di utenti bersaglio.

Chi sono gli utenti più a rischio dopo l’attacco?

Le evidenze indicano soprattutto organizzazioni con interessi strategici in Asia orientale, inclusi attori dei settori energia, industria, ricerca e media. Gli utenti generici sono stati in gran parte esclusi, in linea con una campagna di spionaggio mirato.

Come posso verificare se la mia installazione è sicura?

È consigliabile utilizzare almeno la versione 8.8.9, scaricata dal sito ufficiale di Notepad++, controllare la firma digitale dell’eseguibile, monitorare il processo gup.exe e verificare l’assenza di updater sospetti nella cartella TEMP del sistema.

Perché si sospetta una sponsorizzazione statale cinese?

Il profilo delle vittime, il focus sull’Asia orientale, la sofisticazione tecnica e il precedente attivismo “Free Uyghur” di Don Ho verso il governo cinese suggeriscono un possibile coinvolgimento di un gruppo di cyber-spionaggio legato a Pechino.

Quali misure ha adottato il team di sviluppo di Notepad++?

Il team ha sostituito il provider di hosting, introdotto firme digitali più robuste, controlli di integrità avanzati sugli aggiornamenti, rafforzato la catena di distribuzione e rilasciato la versione 8.8.9 come aggiornamento di sicurezza prioritario.

Qual è la principale analisi di riferimento su questo incidente?

Un’analisi tecnica dettagliata dell’attacco, con particolare attenzione al malware distribuito e ai target coinvolti, è stata pubblicata dall’esperto di sicurezza Kevin Beaumont, considerata la fonte primaria sull’evento.

Bitcoiner Evangelist, portatore sano di Ethereum e Miner di crypto da tempi non sospetti. Sono a dir poco un entusiasta della vita, e già questo non è poco. Intimamente illuminato dalla Cultura Life-Hacking, nonchè per sempre ed indissolubilmente Geek, giocosamente Runner e olisticamente golfista. #senzatimore è da decenni il mio hashtag e significa il coraggio di affrontare l'ignoto. Senza Timore. Appunto

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

AFFILIATION + AI IMAGE & TEXT

I contenuti pubblicati su Assodigitale.it possono contenere link di affiliazione al Programma Amazon EU.
In qualità di affiliato Amazon, il sito percepisce una commissione sugli acquisti idonei effettuati tramite i link presenti nelle pagine, senza alcun costo aggiuntivo per l’utente.
Alcune immagini e testi presenti su questo sito web sono generate tramite sistemi di intelligenza artificiale (IA) e hanno finalità esclusivamente illustrative.
Tali immagini non rappresentano persone reali, né vanno intese come fotografie autentiche dei soggetti.
Per chiarimenti, segnalazioni o istanze formali è possibile contattare la redazione.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.

 

Indice dei Contenuti:

INDICE CONTENUTI
Powered by atecplugins.com