A népszerű nyílt forráskódú szöveg- és forráskód-szerkesztő, a Notepad++ jelentős biztonsági frissítést adott ki, miután hónapokon keresztül zajló supply-chain támadás érintette a frissítési infrastruktúráját.
A 8.9.2-es verzióban bevezetett új „double-lock” (kettős zár) ellenőrzési mechanizmus célja, hogy lényegesen megnehezítse a frissítések manipulálását vagy rosszindulatú szerverre történő átirányítását.
🎯 A támadás háttere: hónapokig észrevétlen kompromittálás
A biztonsági kutatók – köztük a Rapid7 elemzői – szerint a támadók már 2025 júniusában behatoltak a Notepad++ frissítési infrastruktúrájába.
A kampány mögött a Lotus Blossom nevű csoport állhat, amelyet széles körben kínai kötődésűként tartanak számon.
A támadás lényege:
- A frissítési fájlokat kiszolgáló hosting szolgáltató kompromittálása
- Bizonyos felhasználók célzott átirányítása rosszindulatú szerverekre
- Trójai frissítések terjesztése egy „Chrysalis” nevű backdoorral
- Tartós hozzáférés biztosítása a fertőzött rendszerekhez
A kampány közel hat hónapig észrevétlen maradt, mielőtt 2025. december 2-án leleplezték.
🔐 Hogyan működik az új „Double-Lock” rendszer?
A fejlesztők teljesen újratervezték a frissítési folyamatot, két egymástól független kriptográfiai ellenőrzési réteget bevezetve.
1️⃣ Első zár – Installer digitális aláírás ellenőrzése
- A GitHubról letöltött telepítő digitális aláírásának validálása
- Ez a védelem már a 8.8.9-es verzióban megjelent
2️⃣ Második zár – Frissítési metaadat aláírása
- A frissítési szolgáltatás által küldött XML fájl mostantól
XML Digital Signature (XMLDSig) szabvány szerint aláírt - A metaadat integritása külön kriptográfiai ellenőrzésen megy át
Ez azt jelenti, hogy egy támadónak:
- Az installer aláírását is meg kellene hamisítania
- És az XML metaadat aláírását is egyidejűleg meg kellene kerülnie
A fejlesztők szerint ez normál körülmények között „gyakorlatilag kihasználhatatlan”.
🛡 További biztonsági megerősítések
A kettős aláírás mellett több más hardening lépés is történt:
- libcurl.dll eltávolítása → DLL side-loading kockázat csökkentése
- Insecure SSL opciók eltávolítása:
- CURLSSLOPT_ALLOW_BEAST
- CURLSSLOPT_NO_REVOKE
- Plugin végrehajtási korlátozások:
- Csak a WinGUp updaterrel azonos tanúsítvánnyal aláírt binárisok futtathatók
Ez már nem csak patch, hanem architekturális modernizáció.
🏗 Infrastrukturális átalakítás
Az incidens után a csapat:
- Új hosting szolgáltatóra migrált
- Minden frissítési infrastruktúrához kapcsolódó credentialt rotált
- Javította az exploitált sebezhetőségeket
Ez klasszikus supply-chain támadás volt:
nem a felhasználókat támadták, hanem a szoftverterjesztési csatornát.
🌍 Miért fontos ez az open-source ökoszisztéma számára?
A supply-chain támadások egyre gyakoribbak, mert:
- Skálázhatók
- Megbízható szoftverterjesztési csatornát használnak ki
- Tömeges kompromittálást tesznek lehetővé
A Notepad++ által bevezetett kettős aláírási modell precedenst teremthet más open-source projektek számára is.
👤 Mit tegyenek a felhasználók?
✅ Frissítsenek Notepad++ 8.9.2 verzióra azonnal
✅ Csak a hivatalos weboldalról töltsenek le telepítőt
✅ Vállalati környezetben ellenőrizzék a telepített verziókat
✅ Vizsgálják meg, történt-e gyanús update-forgalom 2025 júniusa és decembere között
📌 Stratégiai tanulság
A modern támadók:
- Nem exploitot keresnek,
- hanem bizalmi láncokat törnek meg.
A szoftverfrissítés ma már nem puszta kényelmi funkció, hanem kritikus támadási felület.
A Notepad++ esete jól mutatja, hogy a digitális aláírás önmagában nem elég –
a metaadat-szintű integritásvédelem legalább ennyire fontos.
