राज्य-समर्थित हैकरों द्वारा Notepad++ से समझौता

 (notepad-plus-plus.org)
2 पॉइंट द्वारा GN⁺ 2026-02-03 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • Notepad++ की आधिकारिक वेबसाइट के update ट्रैफ़िक को attacker server की ओर redirect किए जाने की सुरक्षा-उल्लंघन घटना हुई
  • हमला hosting provider के infrastructure स्तर पर हुए compromise के ज़रिए किया गया, और यह Notepad++ code की अपनी vulnerability नहीं थी
  • हमला जून 2025 से 2 दिसंबर तक जारी रहा, और कई security researchers ने इसे चीनी सरकार-समर्थित hacking group का काम माना
  • हमलावरों ने पुराने Notepad++ versions को निशाना बनाया, जिनमें update verification process पर्याप्त नहीं था, और malicious update वितरित किए
  • इसके बाद website migration, certificate और signature verification को मज़बूत करना, XML signature लागू करना आदि के ज़रिए सुरक्षा बढ़ाई गई

घटना का सार

  • security notice (v8.8.9 announcement) के बाद बाहरी विशेषज्ञों और पूर्व hosting provider के साथ मिलकर जांच की गई
  • विश्लेषण के अनुसार, हमलावर notepad-plus-plus.org की ओर जाने वाले update ट्रैफ़िक को intercept और redirect करने लायक infrastructure-level compromise करने में सफल रहे
  • compromise Notepad++ code में नहीं बल्कि hosting provider server पर हुआ
  • केवल कुछ खास users के ट्रैफ़िक को चुनकर attacker server की ओर redirect किया गया, जहाँ malicious update manifest दिया गया

हमले का समय और पीछे कौन था

  • हमला जून 2025 से शुरू हुआ
  • कई स्वतंत्र security researchers ने इसे चीनी सरकार-समर्थित hacking group से जुड़ा माना
  • हमले की खासियत यह थी कि इसे बहुत सीमित और चुनिंदा तरीके से अंजाम दिया गया

hosting provider की जांच के निष्कर्ष

  • provider ने पुष्टि की कि 2 सितंबर 2025 तक server compromised था
    • उस तारीख़ को kernel और firmware updates किए गए, और उसके बाद logs में वैसा pattern नहीं दिखा
  • हमलावरों ने 2 दिसंबर तक internal service credentials बनाए रखे, जिससे वे कुछ ट्रैफ़िक redirect कर सके
  • log analysis के अनुसार, दूसरे customers निशाना नहीं थे; केवल Notepad++ domain को target किया गया
  • 2 दिसंबर के बाद
    • vulnerability fixes और credential rotation पूरी कर ली गई
    • दूसरे servers पर ऐसे compromise के संकेत नहीं मिले
  • customers को SSH, FTP/SFTP, MySQL passwords बदलने और WordPress admin accounts की जांच करने की सलाह दी गई

सारांश (TL;DR)

  • shared hosting server 2 सितंबर 2025 तक compromised था, और उसके बाद हमलावरों ने 2 दिसंबर तक internal credentials बनाए रखे
  • हमलावरों ने Notepad++ update verification की कमजोरी का फायदा उठाकर malicious updates वितरित किए
  • 2 दिसंबर के बाद सभी security hardening steps पूरी कर ली गईं, और आगे के हमले रोक दिए गए

प्रतिक्रिया और सुरक्षा मज़बूती

  • Notepad++ website को ज़्यादा सुरक्षित नए hosting provider पर migrate किया गया
  • Notepad++ का built-in updater WinGup v8.8.9 से
    • downloaded installer files के लिए certificate और signature verification feature जोड़ा गया
    • update server के XML responses पर XMLDSig signature लागू किया गया
    • v8.9.2 से certificate और signature verification अनिवार्य रूप से लागू होने वाला है
  • users को v8.9.1 version manually install करने की सलाह दी गई

अतिरिक्त जानकारी और जांच की सीमाएँ

  • Indicators of Compromise (IoC) हासिल नहीं हुए
    • लगभग 400GB server logs का विश्लेषण किया गया, लेकिन binary hash, domain, IP जैसे ठोस IoC नहीं मिले
    • hosting provider से भी IoC मांगे गए, लेकिन उपलब्ध नहीं कराए गए
  • Rapid7 के Ivan Feigl ने अलग जांच के निष्कर्ष साझा किए और उनके पास ज़्यादा विशिष्ट IoC हैं

निष्कर्ष

  • हमला hosting infrastructure compromise के ज़रिए targeted update tampering के रूप में किया गया
  • security hardening और server migration के बाद समस्या का समाधान हो चुका है
  • Notepad++ आगे update verification system को और मज़बूत करके ऐसे हमलों को रोकने की दिशा में काम कर रहा है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.