كشف مطور البرنامج الشهير Notepad++ عن تعرض آلية التحديث الرسمية للبرنامج للاختراق من قبل مهاجمين مدعومين من دول، حيث تم توجيه حركة مرور التحديثات إلى خوادم ضارة لزرع برمجيات خبيثة في أجهزة المستخدمين المستهدفين، مما يشكل تهديداً خطيراً للأمن الرقمي.
ما هي تفاصيل اختراق خوادم Notepad++؟
أوضح المطور "دون هو" أن الهجوم لم يستغل ثغرة في كود البرنامج نفسه، بل كان اختراقاً على مستوى البنية التحتية لمزود الاستضافة. سمح هذا الاختراق للمهاجمين باعتراض حركة المرور المخصصة لتحديثات البرنامج وإعادة توجيهها.
وبحسب تقرير تيكبامين، فإن هذا الحادث يسلط الضوء على خطورة هجمات سلاسل التوريد، حيث يتم استهداف البنية التحتية بدلاً من التطبيقات المباشرة.
كيف تمت عملية خداع آلية التحديث؟
اعتمد المهاجمون على تقنيات متطورة لخداع أداة التحديث الخاصة بالبرنامج (WinGUp)، حيث تمكنوا من:
- اعتراض حركة الشبكة بين جهاز المستخدم وخادم التحديث.
- خداع أداة التحديث لتنزيل ملفات ثنائية مغايرة للملفات الأصلية.
- استهداف فئات محددة من المستخدمين بدلاً من نشر البرمجيات الخبيثة للجميع.
جاء هذا الكشف بعد شهر واحد فقط من إصدار النسخة 8.8.9 التي حاولت معالجة مشكلة مشابهة كانت تؤدي أحياناً إلى إعادة توجيه التحديثات لنطاقات ضارة.
من يقف وراء هجوم Notepad++ ومتى بدأ؟
تشير التحقيقات الأولية التي أجراها الباحث الأمني المستقل "كيفن بومونت" إلى تورط جهات تهديد صينية في هذا الهجوم، بهدف السيطرة على الشبكات وخداع الضحايا لتحميل البرمجيات الضارة.
التسلسل الزمني للاختراق
أكد فريق التطوير أن المهاجمين حافظوا على وصولهم لفترة طويلة، وفقاً للجدول الزمني التالي:
- يونيو 2025: بداية الهجوم واستهداف المستخدمين.
- 2 سبتمبر 2025: تاريخ اختراق خادم الاستضافة المشترك.
- 2 ديسمبر 2025: استمرار المهاجمين في استخدام بيانات الاعتماد للوصول للخدمات الداخلية.
وفي خطوة لاحتواء الأزمة، تم نقل موقع Notepad++ إلى مزود استضافة جديد لضمان أمان المستخدمين ومنع تكرار مثل هذه الحوادث مستقبلاً.
