Contents

国家支援型攻撃で Notepad++ アップデートがハイジャック、開発者が対応

Contents

<本文>/images/Notepad-feature-image.jpg

Notepad++ ユーザーは、国家支援のハッカーがユーティリティの更新システムを乗っ取り、トラフィックを悪意のあるサーバーにリダイレクトするという高度な攻撃に巻き込まれました。このニュースは開発者の Don Ho 氏によるもので、彼はこの侵害が Notepad++ 自体の脆弱性によってではなく、ホスティング プロバイダー レベルで発生したことを認めました。

Ho 氏は、攻撃者が更新プロセスの背後にあるインフラストラクチャを侵害し、notepad-plus-plus.org 宛てのトラフィックを傍受し、悪意のある実行可能ファイルを標的のユーザーにプッシュできるようにしたと説明しました。ハイジャックの正確な手口はまだ調査中ですが、初期の報告では、東アジア全域の電気通信および金融サービスの特定のユーザーのみに影響を与える、非常に選択的なアプローチが示唆されています。

このセキュリティ上の欠陥は、Notepad++ の組み込みアップデータである WinGUp とその検証プロセスに関連しています。攻撃者は、アップデーターがダウンロードされたファイルの整合性と信頼性をチェックする方法を悪用し、事実上、アップデーターをだまして有害なバイナリをインストールさせました。

これに応じて、ホー氏のチームは公式 Web サイトをより厳格なセキュリティ プロトコルを備えた新しいホスティング プロバイダーに移動し、追加の安全策で更新プロセスを強化しました。 「元ホスティングプロバイダーによると、共有サーバーは2025年9月2日まで侵害されていた」とホー氏は語った。 「アクセスを失った後も、攻撃者は 2025 年 12 月 2 日まで資格情報を維持し、更新トラフィックを悪意のあるサーバーにリダイレクトし続けることができました。」

独立研究者のケビン・ボーモントは、これらの攻撃をバイオレット・タイフーン(APT31とも呼ばれる)として知られる中国の国民国家グループと関連付けた(The Hacker Newsより)。このキャンペーンは、公に発見される数か月前の 2025 年 6 月に開始されたと考えられています。このインシデントは、以前のリダイレクトの問題に対処するために先月リリースされた Notepad++ バージョン 8.8.9 に続いて発生しました。

この侵害は、ソフトウェアのサプライチェーンに内在するリスクを示唆し、国家支援によるサイバー攻撃者の能力の増大を浮き彫りにしています。現時点では、Notepad++ ユーザーは、アップデートが公式 Web サイトから直接提供されていることを確認し、調査が続く間は常に警戒するよう求められています。さらに開発者は、関連するセキュリティ強化が明らかに含まれる v8.9.1 をダウンロードするよう指示しました。

記事の特集画像ソース: Notepad++

*️⃣ 出典リンク:

確認済みこれらの攻撃にリンクThe Hacker News