राज्य-समर्थित हैकरों द्वारा Notepad++ से समझौता

 (notepad-plus-plus.org)
2 पॉइंट द्वारा GN⁺ 2026-02-03 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Notepad++ की आधिकारिक वेबसाइट के update ट्रैफ़िक को attacker server की ओर redirect किए जाने की सुरक्षा-उल्लंघन घटना हुई
  • हमला hosting provider के infrastructure स्तर पर हुए compromise के ज़रिए किया गया, और यह Notepad++ code की अपनी vulnerability नहीं थी
  • हमला जून 2025 से 2 दिसंबर तक जारी रहा, और कई security researchers ने इसे चीनी सरकार-समर्थित hacking group का काम माना
  • हमलावरों ने पुराने Notepad++ versions को निशाना बनाया, जिनमें update verification process पर्याप्त नहीं था, और malicious update वितरित किए
  • इसके बाद website migration, certificate और signature verification को मज़बूत करना, XML signature लागू करना आदि के ज़रिए सुरक्षा बढ़ाई गई

घटना का सार

  • security notice (v8.8.9 announcement) के बाद बाहरी विशेषज्ञों और पूर्व hosting provider के साथ मिलकर जांच की गई
  • विश्लेषण के अनुसार, हमलावर notepad-plus-plus.org की ओर जाने वाले update ट्रैफ़िक को intercept और redirect करने लायक infrastructure-level compromise करने में सफल रहे
  • compromise Notepad++ code में नहीं बल्कि hosting provider server पर हुआ
  • केवल कुछ खास users के ट्रैफ़िक को चुनकर attacker server की ओर redirect किया गया, जहाँ malicious update manifest दिया गया

हमले का समय और पीछे कौन था

  • हमला जून 2025 से शुरू हुआ
  • कई स्वतंत्र security researchers ने इसे चीनी सरकार-समर्थित hacking group से जुड़ा माना
  • हमले की खासियत यह थी कि इसे बहुत सीमित और चुनिंदा तरीके से अंजाम दिया गया

hosting provider की जांच के निष्कर्ष

  • provider ने पुष्टि की कि 2 सितंबर 2025 तक server compromised था
    • उस तारीख़ को kernel और firmware updates किए गए, और उसके बाद logs में वैसा pattern नहीं दिखा
  • हमलावरों ने 2 दिसंबर तक internal service credentials बनाए रखे, जिससे वे कुछ ट्रैफ़िक redirect कर सके
  • log analysis के अनुसार, दूसरे customers निशाना नहीं थे; केवल Notepad++ domain को target किया गया
  • 2 दिसंबर के बाद
    • vulnerability fixes और credential rotation पूरी कर ली गई
    • दूसरे servers पर ऐसे compromise के संकेत नहीं मिले
  • customers को SSH, FTP/SFTP, MySQL passwords बदलने और WordPress admin accounts की जांच करने की सलाह दी गई

सारांश (TL;DR)

  • shared hosting server 2 सितंबर 2025 तक compromised था, और उसके बाद हमलावरों ने 2 दिसंबर तक internal credentials बनाए रखे
  • हमलावरों ने Notepad++ update verification की कमजोरी का फायदा उठाकर malicious updates वितरित किए
  • 2 दिसंबर के बाद सभी security hardening steps पूरी कर ली गईं, और आगे के हमले रोक दिए गए

प्रतिक्रिया और सुरक्षा मज़बूती

  • Notepad++ website को ज़्यादा सुरक्षित नए hosting provider पर migrate किया गया
  • Notepad++ का built-in updater WinGup v8.8.9 से
    • downloaded installer files के लिए certificate और signature verification feature जोड़ा गया
    • update server के XML responses पर XMLDSig signature लागू किया गया
    • v8.9.2 से certificate और signature verification अनिवार्य रूप से लागू होने वाला है
  • users को v8.9.1 version manually install करने की सलाह दी गई

अतिरिक्त जानकारी और जांच की सीमाएँ

  • Indicators of Compromise (IoC) हासिल नहीं हुए
    • लगभग 400GB server logs का विश्लेषण किया गया, लेकिन binary hash, domain, IP जैसे ठोस IoC नहीं मिले
    • hosting provider से भी IoC मांगे गए, लेकिन उपलब्ध नहीं कराए गए
  • Rapid7 के Ivan Feigl ने अलग जांच के निष्कर्ष साझा किए और उनके पास ज़्यादा विशिष्ट IoC हैं

निष्कर्ष

  • हमला hosting infrastructure compromise के ज़रिए targeted update tampering के रूप में किया गया
  • security hardening और server migration के बाद समस्या का समाधान हो चुका है
  • Notepad++ आगे update verification system को और मज़बूत करके ऐसे हमलों को रोकने की दिशा में काम कर रहा है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-03
Hacker News की राय

  • मुझे लगता है कि अगर किसी प्रोग्राम की सच में ज़रूरत न हो तो उसकी इंटरनेट एक्सेस ब्लॉक करने वाली फ़ायरवॉल आदत की वजह से मैं ऐसे मुद्दों से काफ़ी हद तक सुरक्षित हूँ
    एक text editor के इंटरनेट तक पहुँचने की कोई वजह ही नहीं है
    मैं updates सिर्फ winget से करता हूँ, और ज़्यादातर GitHub से installer files लेता हूँ। मेरी समझ से package changes सिर्फ PR के ज़रिए ही संभव हैं। परफेक्ट नहीं है, लेकिन काफ़ी भरोसेमंद है

    • update check या plugin download जैसी चीज़ों के लिए अपवादस्वरूप इंटरनेट एक्सेस की ज़रूरत पड़ सकती है
    • macOS पर Little Snitch बहुत काम का है। यह तुरंत बता देता है कि कौन-सा IP या domain connect हो रहा है, और allow·block·rules सेट करना आसान बनाता है
    • मैं जानना चाहता हूँ कि आप कौन-सा फ़ायरवॉल software इस्तेमाल करते हैं। अब मुझे भी लग रहा है कि फ़ायरवॉल इस्तेमाल करना चाहिए

  • मैं update टालता रहा और अभी भी 8.5.8 version इस्तेमाल कर रहा हूँ, तो अब सोच रहा हूँ कि क्या नतीजे में मैं ज़्यादा सुरक्षित स्थिति में रहा
    अच्छा होता अगर infected update पाने वाले लोगों के साथ वास्तव में क्या हुआ, इस पर ठोस जानकारी मिलती
    अगर installed Notepad++ files का checksum verify करने वाला कोई tool हो तो मदद मिलेगी
    ऊपर से notice में typos भी बहुत हैं, इसलिए शक होता है कि कहीं यह state-sponsored hacker ने ही तो नहीं लिखा। क्या नया version खुद भी malicious हो सकता है?

    • इससे मुझे कॉलेज के दिनों के professors याद आ गए, जो bugs वाले assignments दे देते थे। इसलिए मैं हमेशा इंतज़ार करता था कि पहले दूसरे लोग try करें और कहें कि सब ठीक है
      अच्छा होता अगर ऐसा web of trust system होता जहाँ दोस्त पहले updates test करते और हम उनके नतीजों पर भरोसा करते
    • मुझे नहीं लगता कि latest version हमेशा ज़्यादा सुरक्षित होता है। जब तक कोई known vulnerability न हो, पुराना version कभी-कभी ज़्यादा stable होता है
    • Notepad++ की official site के मुताबिक यह घटना जून 2025 से शुरू हुई
      8.8.1 और उससे नीचे के versions सुरक्षित बताए गए हैं। GitHub पर हर version के SHA256 checksum public हैं
    • पुराना version होना हमेशा बुरा नहीं होता। update उल्टा quality भी गिरा सकता है
      automatic updates चालू करने से ज़्यादा ज़रूरी है code को खुद review करना
    • जो apps सीधे इंटरनेट से जुड़े नहीं हैं (mail, browser, OS वगैरह को छोड़कर), उनमें मैं automatic updates बंद रखता हूँ
      मुझे लगता है कि random apps के malicious update से infected होने की संभावना कहीं ज़्यादा है। मैं बस कभी-कभी manually update करता हूँ

  • Chocolatey इस्तेमाल करने की वजह से मैं इस attack से बच गया
    maintainer ने SHA256 checksum hardcode कर रखा था, और WinGuP का बिल्कुल इस्तेमाल नहीं होता

  • ऐसे मामलों में package manager के फ़ायदे साफ़ दिखते हैं
    update server की कमजोरियाँ क्या हैं या checksum verification हो रहा है या नहीं, यह पता नहीं होता, इसलिए मैं built-in update feature पर भरोसा नहीं करता
    उसकी जगह choco update notepadplusplus या winget upgrade Notepad++.Notepad++ से manage करता हूँ

  • शायद यह घटना Notepad++ की Taiwan से जुड़ी notice से संबंधित है

    • Notepad++ पहले भी updates में political messages शामिल करता रहा है। Taiwan, Ukraine वगैरह पर अपनी position जताई गई है
    • पहले Free Uyghur Edition भी था। मुझे याद है उस समय GitHub issues चीनी भाषा के posts से भर गए थे
    • यह attack developer पर नहीं, बल्कि किसी खास user group पर targeted लगता है
    • मुझे लगता है open source project docs में political discussion डालना ठीक नहीं है। लेखक की आज़ादी है, लेकिन इससे project को नुकसान हो सकता है
    • मुझे लगता है कि mainland China का Taiwan को ज़बरदस्ती integrate करने का रवैया समस्या है
      लेकिन software को politics से अलग रहना चाहिए। चाहे राजनीतिक लक्ष्य से सहमति हो, उसे code में मिलाना गैर-ज़रूरी है

  • general-purpose tools जिन्हें छोटी teams maintain करती हैं, वे हमेशा चिंता का कारण होते हैं
    अगर सिर्फ कुछ installations भी hack हो जाएँ, तो supply chain attack की वजह से अनगिनत कंपनियाँ जोखिम में आ सकती हैं

    • अगर आप macOS user हैं, तो Little Snitch ज़रूर इस्तेमाल करना चाहिए
      Wireshark या Burp Suite जैसे tools से traffic को सीधे analyze भी किया जा सकता है
      ऐसे फ़ायरवॉल Windows या Linux पर भी संभव हैं
    • automatic update feature security के लिहाज़ से अस्थिर लगता है। इसे सही तरह implement करने के लिए बहुत engineering effort चाहिए, जो ज़्यादातर कंपनियाँ नहीं लगातीं
    • बड़ी कंपनियाँ भी ऐसे attacks से immune नहीं हैं। लापरवाही हुई तो वे भी वैसे ही फँसेंगी

  • कहा गया है कि कुछ users का traffic attacker server की ओर redirect किया गया और उन्हें malicious update manifest मिला
    मैं जानना चाहता हूँ कि किन users को target किया गया, लेकिन लेख में बस इतना कहा गया है कि संभवतः चीन-समर्थित सरकारी hackers थे

    • शायद universities, companies, government institutions के IPs मुख्य target रहे होंगे
    • हो सकता है कुछ पुराने Notepad++ versions में update verification process कमज़ोर थी, इसलिए सिर्फ कुछ users vulnerable रहे हों
    • server किसने hack किया, यह मुझे नहीं पता। आखिर में “state actor” कह देने पर कोई verify भी नहीं करता

  • मैं जानना चाहता हूँ कि target systems वास्तव में कैसे compromise हुए

    • ज़्यादा जानकारी Heise article और DoublePulsar analysis में है
      8.8.7 से पहले के versions self-signed certificate इस्तेमाल करते थे, और उसकी key GitHub पर exposed थी
      यह attack एशिया क्षेत्र के सिर्फ कुछ users को निशाना बनाने वाला manual intrusion-style attack था
      सिर्फ hosting provider को दोष देने के बजाय, मुझे लगता है developer की भी ज़िम्मेदारी है
    • supply chain attack सच में डरावना लगता है। मैं भी Notepad++ में अक्सर sensitive files खोलता हूँ, तो चिंता होती है कि कहीं कुछ leak तो नहीं हुआ
    • बहुत संभव है कि update के ज़रिए backdoor डालकर surveillance या data theft की कोशिश की गई हो
    • अभी भी कौन target था यह साफ़ नहीं है। official statement बहुत vague है

  • आखिर में सवाल यही बचता है: “तो अब मैं Notepad++ का क्या करूँ?”

    • अगर आपने package manager इस्तेमाल किया है, तो काफ़ी संभव है कि इस attack से आप प्रभावित नहीं हुए हों। लेकिन अगर installer file खुद infected हो, तो फिर भी जोखिम है
    • विकल्प के तौर पर मैं KDE की Kate recommend करूँगा। इसे Chocolatey से install किया जा सकता है
    • व्यक्तिगत रूप से मुझे Gedit भी एक कम आंका गया अच्छा विकल्प लगता है

  • मैं नया software install करते ही update check feature बंद कर देता हूँ
    चाहे ऐसे attacks दुर्लभ हों, मुझे लगता है कि update requests मेरे कंप्यूटर की fingerprint और location information उजागर कर देती हैं

    • सच में समझ नहीं आता। remote code execution vulnerabilities आखिरकार तब बनती हैं जब “software को remote से code लाने और चलाने की अनुमति” दी जाती है
    • हाँ, अगर Room 641A जैसी surveillance level हो, तो चाहे जितनी सावधानी बरतें, पूरी तरह बचना मुश्किल है
      threat modeling के ज़रिए व्यावहारिक स्तर की security बनाए रखना ज़रूरी है
    • तो फिर उल्टा सवाल यह भी है कि updates न करने से जो vulnerability exposure पैदा होता है, उसे कैसे manage किया जाए?