ผู้ดูแล Notepad++ เปิดเผยว่าผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลได้ทำการจี้กลไกการอัปเดตของโปรแกรมเพื่อเปลี่ยนเส้นทางการจราจรของการอัปเดตไปยังเซิร์ฟเวอร์ที่เป็นอันตราย ส่งผลให้มีการดาวน์โหลดไฟล์ปฏิบัติการที่ติดมัลแวร์ให้กับผู้ใช้บางราย เหตุการณ์นี้เกิดจากการประนีประนอมในระดับผู้ให้บริการโฮสติ้ง ไม่ใช่ช่องโหว่ในโค้ดของ Notepad++ การโจมตีเริ่มต้นตั้งแต่เดือนมิถุนายน 2025 และเชื่อว่ามีนักแสดงภัยคุกคามจากประเทศจีนอยู่เบื้องหลัง ปัจจุบันเว็บไซต์ Notepad++ ได้ถูกย้ายไปยังผู้ให้บริการโฮสติ้งรายใหม่แล้ว
Severity: สูง
System Impact:
- Notepad++ (โดยเฉพาะกลไกการอัปเดต WinGUp)
- โครงสร้างพื้นฐานของผู้ให้บริการโฮสติ้ง
- ระบบของผู้ใช้ที่ดาวน์โหลดไฟล์ปฏิบัติการที่ติดมัลแวร์
- เครือข่ายที่ถูกจี้
Technical Attack Steps:
- การประนีประนอมโครงสร้างพื้นฐาน: ผู้โจมตีได้ทำการเจาะระบบโครงสร้างพื้นฐานของผู้ให้บริการโฮสติ้ง
- การดักจับและเปลี่ยนเส้นทางการจราจร: ผู้ไม่หวังดีดักจับและเปลี่ยนเส้นทางการจราจรการอัปเดตของ Notepad++ (ที่มุ่งไปยัง notepad-plus-plus.org) ไปยังเซิร์ฟเวอร์ที่ควบคุมโดยผู้โจมตี
- การคงอยู่ของข้อมูลรับรอง: ผู้โจมตียังคงรักษาสิทธิ์การเข้าถึงบริการภายในได้แม้หลังจากที่เสียการเข้าถึงเซิร์ฟเวอร์หลักแล้ว
- การส่งมัลแวร์: โปรแกรมอัปเดตที่ถูกประนีประนอม (WinGUp) ถูกหลอกให้ดาวน์โหลดไฟล์ไบนารีที่เป็นอันตรายแทนการอัปเดตที่ถูกต้อง
- การโจมตีแบบกำหนดเป้าหมาย: การเปลี่ยนเส้นทางนี้มุ่งเป้าไปที่ผู้ใช้บางกลุ่มเท่านั้น
- การจี้เครือข่าย: การใช้ประโยชน์จากช่องโหว่นำไปสู่การจี้เครือข่าย
Recommendations:
Short Term:
- อัปเดต Notepad++ เป็นเวอร์ชันล่าสุด (8.8.9 หรือใหม่กว่า) ซึ่งได้แก้ไขช่องโหว่ในการตรวจสอบเบื้องต้นแล้ว
- ตรวจสอบความสมบูรณ์และความถูกต้องของไฟล์อัปเดตที่ดาวน์โหลด
- ตรวจสอบการจราจรเครือข่ายสำหรับกิจกรรมที่ผิดปกติหรือการเปลี่ยนเส้นทางที่น่าสงสัยที่เกี่ยวข้องกับกลไกการอัปเดต
- พิจารณาดาวน์โหลด Notepad++ ใหม่จากเว็บไซต์ทางการที่ได้รับการยืนยัน หลังจากมีการย้ายผู้ให้บริการโฮสติ้งแล้ว
Long Term:
- นำมาตรการรักษาความปลอดภัยห่วงโซ่อุปทานที่แข็งแกร่งมาใช้สำหรับการอัปเดตซอฟต์แวร์
- ปรับปรุงท่าทีการรักษาความปลอดภัยของผู้ให้บริการโฮสติ้งและโครงสร้างพื้นฐานที่สำคัญ
- นำโซลูชันการตรวจจับและป้องกันภัยคุกคามขั้นสูงมาใช้
- ตรวจสอบบริการของบุคคลที่สามและแนวปฏิบัติด้านความปลอดภัยเป็นประจำ
- ให้ความรู้แก่ผู้ใช้ในการระบุการดาวน์โหลดที่น่าสงสัยและการตรวจสอบแหล่งที่มาของซอฟต์แวร์
- ใช้การจัดการข้อมูลรับรองที่แข็งแกร่งและการยืนยันตัวตนแบบหลายปัจจัย (MFA) เพื่อป้องกันการคงอยู่ของผู้โจมตีหลังจากการประนีประนอมเบื้องต้น
Source: https://thehackernews.com/2026/02/notepad-official-update-mechanism.html
Share this content: