گزارش های جدید نشان می دهد که هک به روزرسانی نوت پد پلاس توسط مهاجمان دولتی باعث انتشار نسخه های آلوده این نرم افزار میان کاربران شده و امنیت میلیون ها سیستم را به خطر انداخته است.
سازنده ویرایشگر متن محبوب و متن باز Notepad++ تایید کرده که هکرها با هک به روزرسانی نوت پد پلاس، چندین ماه در سال 2025 (1403-1404) آپدیت های مخربی رو برای کاربران ارسال کردن.
در یک پست وبلاگی که دوشنبه منتشر شد، دان هو (Don Ho)، توسعه دهنده Notepad++، با استناد به تحلیل کارشناسان امنیتی گفت که این حمله سایبری احتمالا توسط هکرهای وابسته به دولت چین بین خرداد تا آذر 1404 انجام شده. هو گفت این موضوع «هدف گیری بسیار دقیق و انتخابی» که در طول این کمپین دیده شده رو توجیه می کنه و منجر به هک به روزرسانی نوت پد پلاس شد.
هو اشاره ای نکرد که دقیقا چند کاربر هدف قرار گرفتن یا سیستم چند نفر آلوده شده (اگه مشخص باشه)؛ رخدادی که یادآور خطرات انتشار نرم افزار نظارتی غیرقانونی و بدافزارها در سطح وسیع است. (اگه خبری بشه، حتما این مطلب رو بروزرسانی می کنیم.)
برنامه Notepad++ یکی از قدیمی ترین پروژه های متن باز هست که بیش از دو دهه قدمت داره و تا امروز حداقل ده ها میلیون بار توسط افراد مختلف، از جمله کارمندان سازمان های بزرگ در سراسر جهان، دانلود شده. این شهرت، آن را به هدفی جذاب برای حملات سایبری نظیر هک به روزرسانی نوت پد پلاس تبدیل کرده است.
جزئیات هک به روزرسانی نوت پد پلاس
به گفته کوین بومونت، محقق امنیتی که اولین بار این حمله رو کشف کرد و یافته هاش رو در آذر 1404 منتشر کرد، هکرها بعد از اینکه فردی ناآگاهانه از یک نسخه آلوده این نرم افزار استفاده کرد، به تعداد کمی از سازمان هایی که «منافعی در شرق آسیا داشتن» نفوذ کردن. بومونت گفت که هکرها تونستن به سیستم های قربانیانی که درگیر هک به روزرسانی نوت پد پلاس شده بودن، دسترسی مستقیم پیدا کنن.
هو گفته که «مکانیسم فنی دقیق» نفوذ هکرها به سرورهاش هنوز در حال بررسیه، اما جزئیاتی در مورد نحوه انجام این حمله ارائه داده.
در این وبلاگ، هو توضیح داد که وب سایت Notepad++ روی یک سرور میزبانی مشترک قرار داشته. مهاجمان با هدف سوءاستفاده از یک باگ در نرم افزار، «به طور خاص» دامنه وب Notepad++ رو هدف قرار دادن تا برخی از کاربران رو به یک سرور مخرب که توسط خودشون اداره می شد، هدایت کنن. این کار به هکرها اجازه داد تا در جریان هک به روزرسانی نوت پد پلاس، به کاربرانی که درخواست آپدیت داده بودن، نسخه های آلوده رو تحویل بدن؛ تا اینکه این باگ در آبان ماه رفع شد و دسترسی هکرها هم در اوایل آذر 1404 قطع شد.
هو نوشت: «ما لاگ هایی داریم که نشون می ده عامل مخرب سعی کرده دوباره از یکی از آسیب پذیری های برطرف شده سوءاستفاده کنه؛ اما بعد از اعمال اصلاحات، این تلاش با شکست مواجه شده.»
هو بابت این اتفاق عذرخواهی کرد و از کاربران خواست که سریعا جدیدترین نسخه نرم افزار رو که حاوی اصلاحیه این باگ هست، دانلود کنن. این اقدام برای محافظت در برابر آسیب های ناشی از هک به روزرسانی نوت پد پلاس ضروری است.
ماجرای هک به روزرسانی نوت پد پلاس، تا حدی یادآور حمله سایبری سال های 1398-1399 هست که مشتریان شرکت SolarWinds رو تحت تاثیر قرار داد؛ شرکتی که ابزارهای مدیریت IT و شبکه برای سازمان های بزرگ لیست Fortune 500، از جمله بخش های دولتی، تولید می کنه. در اون زمان، هکرهای دولتی روسیه به سرورهای این شرکت نفوذ کردن و مخفیانه یک درِ پشتی در نرم افزارش قرار دادن که به جاسوس های روسی اجازه می داد بعد از انتشار آپدیت، به داده های شبکه اون مشتریان دسترسی پیدا کنن.
رخنه امنیتی SolarWinds چندین آژانس دولتی، از جمله امنیت داخلی و وزارتخانه های بازرگانی، انرژی، دادگستری و امور خارجه ایالات متحده رو تحت تاثیر قرار داد. این نمونه تاریخی اهمیت آگاهی از خطرات هک به روزرسانی نوت پد پلاس را دوچندان می کند.
حملات زنجیره تامین مانند آنچه برای نوت پد پلاس رخ داد، زنگ خطری جدی برای توسعه دهندگان و کاربران در سراسر جهان است. با توجه به پیچیدگی روزافزون این حملات، ضرورت استفاده از امضاهای دیجیتال معتبر و نظارت مستمر بر سرورهای میزبانی بیش از هر زمان دیگری احساس می شود تا از تکرار چنین رخدادهای امنیتی گسترده ای جلوگیری شود.
Notepad++ says Chinese government hackers hijacked its software updates for months
