Notepad++ सप्लाई चेन हमले का विश्लेषण

(securelist.com)

2 पॉइंट द्वारा GN⁺ 2026-02-05 | 1 टिप्पणियां | WhatsApp पर शेयर करें

Notepad++ अपडेट इन्फ्रास्ट्रक्चर से समझौता कर दुर्भावनापूर्ण अपडेट वितरित किए गए सप्लाई चेन हमले 2025 के मध्य से अक्टूबर तक जारी रहे
हमलावरों ने Cobalt Strike Beacon और Metasploit डाउनलोडर का उपयोग कर तीन बार में अलग-अलग संक्रमण चेन चलाईं
संक्रमण के शिकार वियतनाम, एल साल्वाडोर और ऑस्ट्रेलिया के व्यक्तिगत उपयोगकर्ता, फिलीपींस की सरकारी एजेंसियां, एल साल्वाडोर की वित्तीय संस्थाएं, वियतनाम की IT सेवा कंपनियां आदि पाए गए
हमले के तरीके NSIS इंस्टॉलर का दुरुपयोग, ProShow कमजोरी का इस्तेमाल, Lua स्क्रिप्ट चलाना, DLL sideloading आदि के रूप में विविध और लगातार बदलते रहे
Kaspersky ने इस हमले को Kaspersky Next EDR Expert से डिटेक्ट किया और temp.sh कम्युनिकेशन, कमांड execution के निशान, registry autorun registration आदि को प्रमुख detection indicators के रूप में पेश किया

घटना का सार

2 फ़रवरी 2026 को Notepad++ डेवलपमेंट टीम ने घोषणा की कि अपडेट सर्वर से होस्टिंग प्रदाता स्तर पर समझौता किया गया था
- समझौते की अवधि जून–सितंबर 2025 थी, जबकि आंतरिक सेवाओं तक पहुंच दिसंबर तक बनी रही
Kaspersky ने पुष्टि की कि जुलाई–अक्टूबर 2025 के बीच हमलावर C2 सर्वर पते, डाउनलोडर और payloads को लगातार बदलते हुए हमला जारी रखते रहे
पीड़ित सिस्टम सीमित संख्या में थे, और विश्लेषण के अनुसार कुल लगभग 10 कंप्यूटर संक्रमित हुए

संक्रमण चेन #1 (जुलाई 2025 के अंत ~ अगस्त की शुरुआत)

दुर्भावनापूर्ण अपडेट फ़ाइल: http://45.76.155[.]202/update/update.exe
- SHA1: 8e6e505438c21f3d281e1cc257abdbf7223b7f5a
वैध प्रोसेस GUP.exe चलाया जाता है और सिस्टम जानकारी इकट्ठा कर temp.sh पर अपलोड की जाती है
- whoami, tasklist कमांड के execution results को curl से भेजा जाता है
इसके बाद %appdata%\ProShow फ़ोल्डर में कई फ़ाइलें ड्रॉप की जाती हैं और ProShow.exe चलाया जाता है
- ProShow की 2010 के दशक की कमजोरी का दुरुपयोग कर load फ़ाइल के भीतर Metasploit डाउनलोडर चलाया जाता है
- डाउनलोडर https://45.77.31[.]210/users/admin से Cobalt Strike Beacon प्राप्त कर उसे execute करता है
अगस्त की शुरुआत में इसी चेन का एक variant देखा गया जिसमें cdncheck.it[.]com डोमेन का उपयोग हुआ

संक्रमण चेन #2 (सितंबर 2025 का मध्य और उत्तरार्ध)

उसी URL से वितरित update.exe (SHA1: 573549869e84544e3ef253bdba79851dcde4963a)
- %APPDATA%\Adobe\Scripts फ़ोल्डर का उपयोग
- whoami, tasklist, systeminfo, netstat -ano कमांड से विस्तृत सिस्टम जानकारी एकत्र की जाती है
ड्रॉप की गई फ़ाइलें: alien.dll, lua5.1.dll, script.exe, alien.ini
- Lua interpreter का उपयोग कर alien.ini के भीतर shellcode execute किया जाता है
- Metasploit डाउनलोडर cdncheck.it[.]com/users/admin से Cobalt Strike Beacon डाउनलोड करता है
सितंबर के अंत में एक variant सामने आया जिसमें अपलोड URL https://self-dns.it[.]com/list और C2 सर्वर safe-dns.it[.]com में बदल गया

संक्रमण चेन #3 (अक्टूबर 2025)

नया अपडेट सर्वर: http://45.32.144[.]255/update/update.exe
- SHA1: d7ffd7b588880cf61b603346a3557e7cce648c93
%appdata%\Bluetooth\ फ़ोल्डर में फ़ाइलें ड्रॉप की जाती हैं
- BluetoothService.exe (वैध), log.dll (दुर्भावनापूर्ण), BluetoothService (एन्क्रिप्टेड shellcode)
DLL sideloading के जरिए log.dll, BluetoothService shellcode को execute करता है
- इसकी संरचना Chrysalis backdoor जैसी है, और Rapid7 के विश्लेषण के अनुसार कुछ मामलों में Cobalt Strike Beacon भी साथ वितरित किया गया

चेन #2 की वापसी और URL परिवर्तन (अक्टूबर 2025 का मध्य ~ अंत)

नया URL: http://95.179.213[.]0/update/update.exe
- पहले के self-dns.it[.]com, safe-dns.it[.]com डोमेन दोबारा इस्तेमाल किए गए
अक्टूबर के अंत में फ़ाइल नाम install.exe, AutoUpdater.exe आदि में बदले गए
- नवंबर के बाद अतिरिक्त संक्रमण नहीं देखे गए

निष्कर्ष और detection recommendation

हमलावरों ने Notepad++ अपडेट सर्वर पर कब्जा कर उच्च-जोखिम वाले संगठनों में घुसपैठ की कोशिश की
- संक्रमण चेन को महीने-दर-महीने बदलते हुए लगातार access बनाए रखा गया
detection और response के लिए सिफारिशें
- NSIS installer creation logs (%localappdata%\Temp\ns.tmp) की जांच
- temp.sh डोमेन कम्युनिकेशन और User-Agent में URL शामिल requests की detection
- whoami, tasklist, systeminfo, netstat -ano कमांड execution traces की जांच
- IoC सूची के आधार पर दुर्भावनापूर्ण डोमेन और फ़ाइल hash की खोज

Kaspersky detection

Kaspersky Next EDR Expert ने हमले की गतिविधियों को डिटेक्ट किया
- lolc2_connection_activity_network नियम से temp.sh कम्युनिकेशन की detection
- system_owner_user_discovery, system_information_discovery_win आदि नियमों से लोकल reconnaissance commands की detection
- temporary_folder_in_registry_autorun नियम से registry autorun registration की detection

प्रमुख IoC सारांश

दुर्भावनापूर्ण अपडेट URL:
- http://45.76.155[.]202/update/update.exe, http://45.32.144[.]255/update/update.exe, http://95.179.213[.]0/update/update.exe आदि
Cobalt Strike संबंधित URL:
- https://45.77.31[.]210/users/admin, https://cdncheck.it[.]com/users/admin, https://safe-dns.it[.]com/help/Get-Start
दुर्भावनापूर्ण फ़ाइल पथ:
- %appdata%\ProShow\load, %appdata%\Adobe\Scripts\alien.ini, %appdata%\Bluetooth\BluetoothService
प्रमुख hashes:
- 8e6e505438c21f3d281e1cc257abdbf7223b7f5a, 573549869e84544e3ef253bdba79851dcde4963a, d7ffd7b588880cf61b603346a3557e7cce648c93 आदि

यह घटना सप्लाई चेन हमलों की बढ़ती परिष्कृति और बहु-स्तरीय संक्रमण चेन के विकास को दिखाती है, और डेवलपर्स व IT इन्फ्रास्ट्रक्चर ऑपरेटरों के लिए अपडेट इंटीग्रिटी वेरिफिकेशन को मजबूत करने की आवश्यकता पर ज़ोर देती है।

1 टिप्पणियां

GN⁺ 2026-02-05

Hacker News की राय

WinGUp updater प्रोग्राम का हमले में दुरुपयोग होना supply chain attack का एक典型 उदाहरण है
हमलावर update channel पर भरोसा करने वाले सिस्टम पर code execution की अनुमति हासिल कर लेते हैं
खास तौर पर यह बात चिंताजनक है कि यह 6 महीने तक पकड़ा नहीं गया
संगठनों को staged rollout और असामान्य network traffic monitoring पर विचार करना चाहिए, और व्यक्तियों को cryptographic verification वाले package manager का उपयोग करना चाहिए
- Windows में अब भी standardized package manager की कमी एक समस्या है
  कई प्रोग्राम ads से भरी websites से डाउनलोड किए जाते हैं, और हर एक का update तरीका अलग होता है
  Microsoft Store के पास इसे बदलने का मौका था, लेकिन design और reputation दोनों में वह विफल रहा
  WinGet काफी बेहतर है, लेकिन अभी भी यह developer-centric tool के स्तर पर है
मैं Notepad++ को default Notepad replacement की तरह इस्तेमाल करता हूँ
मुझे समझ नहीं आया कि network connection default रूप से on क्यों था
मैंने सबसे पहले वही बंद किया, और अभी 2020 version का संतोष के साथ उपयोग कर रहा हूँ
कभी ज़रूरत पड़ी तो खुद manually update करूँगा
Notepad++ मेरे पसंदीदा editors में से एक था, लेकिन इस हमले के बाद IT विभाग में इसके उपयोग पर रोक लगा दी गई
security check के समय इसकी installation तक देखी जाती है
- भरोसा पूरी तरह टूट गया है
  official blog की प्रतिक्रिया भी आश्वस्त नहीं कर पाई, और भरोसा बहाल होने में लंबा समय लगेगा ऐसा लगता है
- मैं भी यही सोचता हूँ
  tabs और spell check ये दो फीचर सबसे अहम थे, लेकिन अब basic Notepad भी इन्हें support करता है
  हाँ, CoPilot button जुड़ गया है, लेकिन उसे settings में बंद किया जा सकता है
मैं इसी वजह से कई tools को sandbox environment में चलाता हूँ
ऐसा करने से नुकसान उसी directory तक सीमित रहता है
किसी tool को मेरे cloud drive या browser cookies तक पहुँचने की कोई वजह नहीं होनी चाहिए
- MacOS को लेकर UI विवाद बहुत हैं, लेकिन granular permission control के मामले में मुझे लगता है कि वह सबसे आगे है
  Linux community इस तरह के approach का विरोध करती है, लेकिन आखिरकार iOS-style sandboxed apps ही भविष्य हैं
  क्योंकि उपयोगकर्ता चाहते हैं कि वे app के behavior को नियंत्रित कर सकें
  अगर FOSS जगत इसे नज़रअंदाज़ करेगा, तो अंततः केंद्रीकरण बड़ी tech कंपनियों के इर्द-गिर्द हो जाएगा
- ऐसा महसूस होता है कि सभी apps को default रूप से sandbox में चलना चाहिए
  app को root के बाहर जाने से रोका जाना चाहिए, और बाहरी access को explicitly allow करना चाहिए
  MacOS में access requests बहुत होती हैं, लेकिन मुझे लगता है और अधिक बारीक permission control की ज़रूरत है
- sandbox में चलाते समय internet access block करना भी महत्वपूर्ण है
  text editor को network connection की ज़रूरत नहीं होती, और वह edit किए जा रहे text को बाहर लीक कर सकता है
  हमलावर system information भेजते हैं, temp.sh जैसी services पर files upload करते हैं, फिर C2 server से communicate करते हैं
  उदाहरण के तौर पर Cobalt Strike Beacon का code है जो cdncheck.it[.]com से communicate करता है
- यह सवाल भी उठा कि Windows में sandboxing को कैसे implement किया जाए
यह हमला दिखाता है कि developers और users बिना सीधे verify किए गए code पर लगातार ज़्यादा भरोसा करने लगे हैं
npm/pip package install, AI-generated code, और ‘vibe coding’ trend में भी वही समस्या बार-बार दिखती है
Notepad++ एक single binary है, इसलिए वह तुलनात्मक रूप से बेहतर उदाहरण है, लेकिन आधुनिक development environment में सैकड़ों dependencies और AI code उलझे रहते हैं
sandboxing महत्वपूर्ण है, लेकिन असली समस्या code क्या कर सकता है और उससे क्या अपेक्षा की जाती है, इस अंतर की है
ऐसे tools की ज़रूरत है जो running code को बेहतर समझने में मदद करें
- लेकिन मेरे अनुभव में भरोसा उल्टा कम हो रहा है
  15 साल पहले कोई supply chain की चिंता नहीं करता था, और Unix users verification के बिना tarball build कर लेते थे
- Ken Thompson का क्लासिक पेपर “Reflections on Trusting Trust” याद आता है
  sandboxing मदद करती है, लेकिन यह पूर्ण समाधान नहीं है
  Notepad++ जैसी utilities, जिनके पास system files edit करने की permission होती है, अब भी खतरनाक हैं
यह जानने की जिज्ञासा है कि क्या infection detect और clean up करने के लिए कोई official tool है
- Windows में infection हो जाने पर disk wipe करके OS reinstall करना ही एकमात्र समाधान है
  malware सिस्टम के कई हिस्सों में छिप सकता है, और सिर्फ UAC warning से उसे रोका नहीं जा सकता
- MS Defender offline mode चलाने की सिफारिश की गई
अगर अभी infection है, तो क्या Malwarebytes उसे detect कर सकता है, यह सवाल उठता है
- OP पोस्ट में indicators of compromise (IOC) की सूची है
  Rapid7 विश्लेषण पोस्ट में भी वही जानकारी है
  यह देखकर आश्चर्य हुआ कि मूल notice में यह link नहीं था
- लेकिन Malwarebytes हाल की quality गिरावट के कारण पहले जितना उपयोगी नहीं रहा
यह जिज्ञासा भी है कि Notepad++ की digital signature को कैसे bypass किया गया
सीधे डाउनलोड करके देखा तो valid code signature मौजूद था
- official notice के अनुसार, certificate के बिना वितरित किया गया एक version मौजूद था
- updater ने नई installer file के certificate को verify किए बिना ही उसे execute कर दिया
अब स्थिति यह है कि security vulnerabilities रोकने के लिए बार-बार update करना चाहिए, लेकिन supply chain attack से बचने के लिए updates से बचना भी चाहिए — यह एक विरोधाभासी हालात है
संतुलन कैसे बनाया जाए, समझ नहीं आता
- पहले updates कभी-कभी सिस्टम को unstable भी बना देते थे
  हाल के Microsoft updates की reliability भी गिरी है, और boot failure जैसी समस्याओं के कारण auto-update बंद करने वाले लोग बढ़ रहे हैं
- अच्छा होगा अगर Dependabot की cooldown setting जैसी किसी local package manager सुविधा से तय delay के बाद updates लागू किए जा सकें
  संबंधित दस्तावेज़: GitHub Dependabot options
- आखिरकार यह zero-day vulnerabilities और supply chain attack के बीच trade-off है
  जिन apps की internet connectivity ज़्यादा है, उन्हें बार-बार update करना चाहिए, और simple local tools में auto-update बंद रखना ठीक हो सकता है
- यह उपयोग के माहौल पर निर्भर करता है
  अगर आप internet content संभालते हैं तो update ज़रूरी है, लेकिन अगर tool सिर्फ local use के लिए है तो ज़रूरत पड़ने पर ही update किया जा सकता है
  अधिकांश मामले इन दोनों के बीच कहीं आते हैं
संदर्भ के लिए Rapid7 का विश्लेषण पोस्ट साझा किया गया