Notepad++ Güncelleme Mekanizması Ele Geçirildi Devlet Destekli Saldırıyla Zararlı Yazılım Bulaştırıldı
Popüler metin editörü Notepad++, devlet destekli siber saldırganların hedefi oldu. Geliştirici Don Ho’nun yaptığı açıklamaya göre, uygulamanın resmi güncelleme mekanizması altyapı seviyesinde ele geçirilerek bazı kullanıcılar kötü amaçlı sunuculara yönlendirildi ve zararlı yazılımlar indirildi.
Ho, saldırının Notepad++ kaynak kodundan değil, yazılımın barındırıldığı hosting altyapısındaki bir güvenlik açığından kaynaklandığını vurguladı. Saldırganların, notepad-plus-plus.org adresine yönlendirilen güncelleme trafiğini ele geçirerek sahte sunuculara yönlendirdiği belirtildi. Olayın kesin teknik detaylarının ise halen araştırıldığı ifade edildi.
Güncelleme Aracı Üzerinden Zehirli Dosyalar İndirildi
Söz konusu saldırı, Notepad++’ın yaklaşık bir ay önce yayınladığı 8.8.9 sürümü öncesinde yaşanan ve WinGUp (Notepad++ güncelleme aracı) kaynaklı bir güvenlik sorunuyla bağlantılı. Bu açık, güncelleme aracının indirilen dosyaların bütünlüğünü ve orijinalliğini yeterince doğrulayamamasından kaynaklanıyordu.
Bu durum, ağ trafiğini ele geçirebilen saldırganların, güncelleme istemcisini kandırarak farklı ve zararlı yürütülebilir dosyalar indirmesine olanak tanıdı.
Saldırı Son Derece Hedefliydi
Yetkililer, saldırıların geniş çaplı değil, son derece hedefli olduğunu belirtiyor. Yalnızca belirli kullanıcıların trafiğinin sahte sunuculara yönlendirildiği ve bu kullanıcılara zararlı bileşenler indirildiği tahmin ediliyor. İlk saldırıların Haziran 2025 civarında başladığı ve uzun süre fark edilmeden devam ettiği düşünülüyor.
Çin Bağlantılı APT Grubu Şüphesi
Bağımsız güvenlik araştırmacısı Kevin Beaumont, bu güvenlik açığının Çin merkezli tehdit aktörleri tarafından aktif olarak kullanıldığını ortaya koydu. Saldırıların, Violet Typhoon (APT31) olarak bilinen ve devlet destekli olduğu değerlendirilen bir tehdit grubuyla ilişkilendirildiği bildirildi.
APT31’in özellikle Doğu Asya’daki telekomünikasyon ve finans kuruluşlarını hedef aldığı, saldırıların ağlara sızma ve zararlı yazılım yayma amacı taşıdığı belirtiliyor.
Notepad++ Altyapısı Taşındı, Ek Güvenlik Önlemleri Alındı
Olayın ardından Notepad++ ekibi, web sitesini daha güçlü güvenlik önlemlerine sahip yeni bir barındırma sağlayıcısına taşıdı. Ayrıca güncelleme sürecinin güvenliğini artırmak için ek doğrulama ve bütünlük kontrolleri devreye alındı.
Don Ho, eski hosting sağlayıcısının paylaşımlı sunucusunun 2 Eylül 2025’e kadar tehlikeye açık olduğunu, saldırganların ise ele geçirdikleri iç servis kimlik bilgileri sayesinde 2 Aralık 2025’e kadar güncelleme trafiğini kötü amaçlı sunuculara yönlendirmeye devam edebildiğini açıkladı.
