Обнаружены новые цепочки заражения в атаке на Notepad++
Исследователи обнаружили две ранее неизвестные цепочки заражения в рамках кибератаки на цепочку поставок через редактор Notepad++. Атака продолжалась с июля по декабрь 2025 года, и злоумышленники ежемесячно полностью меняли свою инфраструктуру, чтобы оставаться незамеченными. В числе целей были поставщики ИТ-услуг, госучреждения и финансовые организации в нескольких регионах мира. Эксперты предупреждают, что проверка систем только по ранее известным индикаторам компрометации не гарантирует безопасности, так как могли использоваться и другие, ещё не выявленные векторы.
В ходе кибератаки на цепочку поставок через компрометацию редактора Notepad++ использовались как минимум три различные цепочки заражения. Как рассказали SecPost эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»), две из цепочек ранее не были известны.
Атака, которую эксперты связывают с китайскими хакерскими группировками, продолжалась с июля по декабрь 2025 года, и злоумышленники ежемесячно полностью меняли свою инфраструктуру, чтобы оставаться незамеченными. Изменялась вся цепочка заражения, включая вредоносные IP-адреса, домены и нагрузки. Среди целей атаки, согласно телеметрии, были поставщики ИТ-услуг, государственные учреждения и финансовые организации в Австралии, Латинской Америке и Юго-Восточной Азии.
В одной из цепочек очень старая уязвимость в легитимном ПО ProShow используется для запуска нагрузки Metasploit и импланта Cobalt Strike, в другой Metasploit запускается из скрипта Lua. В третьей техника DLL sideloading используется для подгрузки вредоносного кода в контексте BluetoothService и разворачивания бэкдора Chrysalis. Среди примечательных аспектов, упрощающих детектирование атаки — применение инсталлятора NSIS на первом этапе и обращение к экзотическому домену temp[.]sh во многих цепочках заражения.
В материале на Хабр опубликован материал с заявлением разработчиков Notepad++, из которого следует, что сервер обновлений был скомпрометирован на стороне хостинг-провайдера. В результате злоумышленники получили возможность перехватывать трафик и перенаправлять его на свой сервер. Выдавая себя за официальный источник, они распространяли среди выбранных жертв поддельные манифесты, которые приводили к установке вредоносных версий программы.
По данным SourceForge, за всю историю наблюдений Notepad++ был скачан почти 30 миллионов раз. Пик скачиваний пришелся на 2010 год, но к 2015 году ПО существенно потеряло в популярности (по крайней мере, на SourceForge). В основном Notepad скачивали с американских IP-адресов, за всю историю наблюдения на США пришлось 1,3 млн скачиваний (около 17% от всех). Россия — на втором месте, с 932,8 тысячами скачиваний, следом идут Бразилия, Франция, Германия, Великобритания. Чаще всего ПО интересовались пользователи Windows — на них пришлось 6,9 млн скачиваний.
Единственная публично задокументированная до этого цепочка представляла собой лишь заключительную фазу более сложной и продолжительной кампании. Вредоносное ПО, обнаруженное в октябре 2025 года, было лишь частью атаки, тогда как другие индикаторы компрометации (IoC) применялись с июля по сентябрь.
В сообщении подчеркивается, что организациям, которые уже проверили системы по ранее известным IoC и не обнаружили угроз, не стоит считать себя в безопасности. Инфраструктура атакующих в период с июля по сентябрь была иной, использовались другие IP-адреса, домены и хеши файлов. Как сообщили исследователи, нельзя исключать наличие и других, ещё не выявленных цепочек заражения, поскольку инструменты атаки регулярно менялись.
Читайте также
