كشف تقرير أمني جديد عن تعرض البنية التحتية لبرنامج نوت باد بلس بلس لاختراق خطير من قبل مجموعة قراصنة مرتبطة بالصين، مما سمح بزرع برمجية تجسس خبيثة استهدفت المطورين.
ما هي تفاصيل هجوم Lotus Blossom على نوت باد بلس بلس؟
أشارت التحليلات الأمنية إلى تورط مجموعة تهديد تعرف باسم Lotus Blossom، والمرتبطة بالصين، في عملية الاختراق المعقدة التي طالت البنية التحتية للاستضافة الخاصة بالمحرر الشهير.
مكّن هذا الهجوم الجهات الفاعلة المدعومة من الدولة من نشر باب خلفي (Backdoor) غير موثق سابقاً يحمل الاسم الرمزي "Chrysalis" لمستخدمي المحرر مفتوح المصدر، وذلك وفقاً لنتائج تقنية حديثة تابعتها تيكبامين.
كيف تم استغلال التحديثات لنشر البرمجية الخبيثة؟
أكد مطور البرنامج، دون هو، أن الاختراق حدث على مستوى مزود الاستضافة، مما سمح للمهاجمين باختطاف حركة مرور التحديثات وتوجيهها بشكل انتقائي.
وفقاً للتحقيقات، استمرت هذه العملية الخبيثة لفترة محددة، حيث تم استغلال ضعف في ضوابط التحقق من التحديث في الإصدارات القديمة:
- بدأ الهجوم في يونيو 2025 واستهدف مستخدمين محددين.
- تم توجيه طلبات التحديث إلى خوادم ضارة لتقديم نسخ معدلة.
- تم سد الثغرة الأمنية بإطلاق الإصدار 8.8.9 في ديسمبر 2025.
- تم إنهاء وصول المهاجمين في 2 ديسمبر 2025 وانتقل البرنامج لمزود استضافة جديد.
وأوضحت التحليلات أن السلوك المؤكد الوحيد هو أن تنفيذ ملف 'notepad++.exe' وما يتبعه من 'GUP.exe' كان يسبق تنفيذ عملية مشبوهة باسم 'update.exe' تم تحميلها من خوادم المهاجمين.
ما هي خطورة برمجية Chrysalis والتجسس؟
تُعد برمجية Chrysalis أداة تجسس متطورة وغنية بالميزات، مصممة لجمع معلومات النظام والاتصال بخادم خارجي لتلقي أوامر إضافية.
على الرغم من أن خادم القيادة والتحكم (C2) متوقف حالياً، إلا أن الفحص العميق للبرمجية كشف عن قدرات خطيرة تشمل:
- إمكانية فتح صدفة تفاعلية (Interactive Shell) للتحكم بالجهاز.
- إنشاء عمليات جديدة وتنفيذ أوامر برمجية.
- إجراء عمليات على الملفات بما في ذلك الرفع والتحميل.
- إلغاء تثبيت نفسها لإخفاء الآثار.
تقنيات التخفي والتمويه
أشار خبراء الأمن في تيكبامين إلى أن العينة البرمجية تبدو وكأنها خضعت للتطوير النشط بمرور الوقت. كما تم تحديد ملف مصمم لاسترداد أدوات اختراق متقدمة مثل "Cobalt Strike".
ومن الجدير بالذكر استخدام المهاجمين لتقنية حماية غير موثقة من مايكروسوفت تعرف باسم "Warbird" لتشغيل الأكواد الخبيثة، مما يدل على مستوى عالٍ من التعقيد التقني لدى المجموعة المهاجمة.
