Notepad++ wykorzystany przez oszustów. Sprawdź komputer

Eksperci ostrzegają, że atakujący przejęli serwer aktualizacji Notepad++ na pół roku. W tym czasie mieli możliwość udostępniania zainfekowanych plików użytkownikom, którzy chcieli zaktualizować popularny edytor tekstu. Trwa analiza zastosowanego malware, jednak już wiadomo, że cyberprzestępcy mogli przesłać na komputery potencjalnie niebezpieczne pliki.

Specjaliści z firmy Stormshield wskazują, że zagrożenie dotknęło zarówno firmy, jak i instytucje korzystające z Notepad++. Atak dawał możliwość dostarczenia loaderów, backdoorów czy narzędzi umożliwiających zdalny dostęp do systemu. Ryzyko dotyczyło użytkowników, którzy w ostatnich miesiącach pobrali aktualizację edytora z oficjalnego źródła.

Zagrożenie nie wynikało z funkcji Notepad++, lecz podatności serwera aktualizacji. Przestępcy przez sześć miesięcy pozostawali niezauważeni, umożliwiając potencjalne szerokie rozprzestrzenianie się złośliwego oprogramowania. Zdaniem ekspertów, to przykład poważnego ataku na łańcuch dostaw oprogramowania.

Aleksander Kostuch z firmy Stormshield informuje, że w przypadku podejrzenia infekcji, komputer należy natychmiast odłączyć od sieci. Zaleca przekazanie maszyny specjalistom ds. reagowania na incydenty, którzy sprawdzą procesy i zadania systemowe oraz przeprowadzą analizę przy użyciu narzędzi antywirusowych lub EDR.

Samo usunięcie Notepad++ nie usuwa zagrożenia. Złośliwe oprogramowanie mogło dodać się do autostartu, dodać nowe usługi lub zadania w systemie. Przeprowadzona kontrola powinna obejmować identyfikację nieznanych procesów i usług, które są pierwszym sygnałem infekcji.

Poprawiona i wolna od podatności wersja Notepad++ jest już dostępna na oficjalnej stronie programu. Jednocześnie specjaliści zwracają uwagę na potrzebę wykorzystywania zaawansowanych narzędzi EDR oraz monitoringu ruchu sieciowego, aby skuteczniej chronić organizacje przed podobnymi atakami w przyszłości.