吳明宜熱門文字編輯軟體 Notepad++ 於本週證實,其軟體更新流量遭到中國國家級駭客劫持,受影響時間長達近半年。攻擊者利用 Notepad++ 更新伺服器在驗證控制上的資安漏洞,攔截使用者的更新請求,並具備針對性地將特定用戶導向惡意伺服器。
在外部資安專家的協助下,Notepad++ 發現這起攻擊最早始於去年 6 月。駭客鎖定了 Notepad++ 的代管服務業者,利用舊版伺服器更新驗證控管不足的漏洞,成功將特定使用者的流量重新導向至攻擊者所掌控的伺服器。
雖然代管業者於去年 9 月更新核心與韌體時,一度導致攻擊者喪失存取權,但駭客隨後利用先前竊得且未變更的憑證重新取得權限。直到去年 12 月初,在多位資安研究人員通報更新後收到惡意套件後,代管業者才終於發現入侵行為並進行清除。 Notepad++ 隨後發布 8.8.9 版本,修補了 WinGUp 更新工具的安全性漏洞。
資安研究人員 Kevin Beaumont 指出,目前已知至少有三家組織受害。 Notepad++ 表示,現已將所有客戶遷移至防護較完善的新代管平台,並完成憑證輪換、漏洞修補,且經由紀錄分析確認惡意活動已完全清除。
為了強化安全性,Notepad++ 維護者建議用戶採取以下措施:
-
變更 SSH 、 FTP/SFTP 以及 MySQL 憑證。
-
檢查 WordPress 管理員帳號、重設密碼並移除不必要的帳號。
-
更新 WordPress 核心、外掛與佈景主題,並啟動自動更新。
自 Notepad++ 8.8.9 版本起,WinGUp 工具將嚴格驗證安裝程式的憑證與簽章。官方也計畫從下個月發布的 8.9.2 版本開始,強制執行憑證簽發驗證。
資安廠商 Rapid 7 根據研究證據判斷,本次攻擊者為中國國家級駭客組織 Lotus Blossom (亦稱 Raspberry Typhoon 、 Bilbug 或 Spring Dragon),其目的是植入名為「Chrysalis」的新型後門程式。研究人員指出,Chrysalis 是一套極為複雜的攻擊工具,能在受害系統中達成持久性存在。目前尚未有確切的入侵指標 (IOC),唯一證實的異常行為是執行 notepad++.exe 後,隨即觸發 GUP.exe 及可疑的 update.exe 程序。