نگهدارنده نرمافزار «نوتپد پلاسپلاس» (Notepad++) اعلام کرده است که مهاجمان دولتی موفق شدهاند از زیرساخت میزبانی این ابزار سوءاستفاده کرده و ترافیک مربوط به بهروزرسانی آن را به سرورهای آلوده هدایت کنند.
«دون هو»، توسعهدهنده اصلی این برنامه متنباز گفته است این حمله نه از طریق آسیبپذیری در کد این برنامه، بلکه در سطح زیرساخت میزبان صورت گرفته است. او همچنین افزود که تحقیقات برای مشخص شدن دقیق نحوه این نفوذ همچنان ادامه دارد.
ماجرا نخستینبار پس از انتشار نسخه ۸.۸.۹ این نرمافزار در اواخر سال ۲۰۲۵ آشکار شد؛ نسخهای که با هدف رفع مشکلی عرضه شد که باعث میشد ابزار WinGUp، بهروزرسانیکننده این برنامه در برخی موارد به دامنههای مخرب هدایت شود و فایلهای آلوده دریافت کند. این مشکل به سازوکار احراز هویت و بررسی صحت فایلهای دریافتی مربوط میشد که امکان سوءاستفاده مهاجمان از طریق حمله در میانه مسیر را فراهم میکرد.
بررسیها نشان میدهد این حمله بسیار هدفمند بوده و تنها برخی از کاربران خاص به سمت سرورهای آلوده هدایت شدهاند. بر اساس شواهد موجود، این عملیات از ژوئن ۲۰۲۵ آغاز شده و برای بیش از شش ماه مخفی مانده است.
کوین بومونت، پژوهشگر مستقل امنیت سایبری، اعلام کرده این آسیبپذیری توسط مهاجمان وابسته به دولت چین مورد بهرهبرداری قرار گرفته و اهدافی در حوزه مخابرات و خدمات مالی در شرق آسیا را هدف قرار دادهاند. گفته میشود این حملات از سوی گروه APT31 یا «توفان بنفش» انجام شده است.
در پی افشای این ماجرا، وبسایت رسمی نوتپد پلاسپلاس به میزبان جدیدی با امنیت تقویتشده منتقل شده و فرآیند بهروزرسانی نیز با لایههای حفاظتی جدیدی بازطراحی شده است.
دون هو در ادامه توضیح داده است که مهاجمان با وجود از دست دادن دسترسی مستقیم به سرور اصلی در تاریخ ۲ سپتامبر ۲۰۲۵، تا تاریخ ۲ دسامبر همچنان توانستهاند از طریق دسترسی به سرویسهای داخلی، ترافیک بهروزرسانی را به مسیرهای مخرب هدایت کنند. این موضوع نشاندهنده سطح بالای نفوذ و برنامهریزی دقیق این حمله است.
توضیحات بیشتر:
Notepad++ Official Update Mechanism Hijacked to Deliver Malware to Select Users