ภาพรวม
- ตั้งแต่เดือนมิถุนายน 2025 จนถึงวันที่ 2 ธันวาคม ได้เกิดการโจมตีแบบไฮแจ็กที่ทราฟฟิกอัปเดตบางส่วนของ Notepad++ ถูกรีไดเรกต์ไปยังโครงสร้างพื้นฐานของผู้โจมตี
- จุดที่ถูกเจาะไม่ใช่โค้ดของ Notepad++ แต่เป็นโครงสร้างพื้นฐานของผู้ให้บริการ shared hosting รายก่อน และมีการส่งอัปเดตอันตรายแบบเลือกเจาะจงไปยังผู้ใช้เป้าหมายบางรายเท่านั้น
รายละเอียดการโจมตีและผู้อยู่เบื้องหลัง
- เซิร์ฟเวอร์โฮสติ้งอยู่ในสถานะถูกเจาะจนถึง 2025-09-02 และประเมินว่าแม้หลังจากนั้นจนถึง 12-02 ก็ยังสามารถเบี่ยงทราฟฟิกบางส่วนได้ผ่านข้อมูลรับรองบริการภายในที่ถูกขโมยไป
- นักวิจัยด้านความปลอดภัยอิสระหลายราย (independent security researchers) มองว่า จากลักษณะการพุ่งเป้าที่จำกัดอย่างมากและรูปแบบการโจมตีในระดับโครงสร้างพื้นฐาน มีความเป็นไปได้สูงว่าเป็นกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน
การตอบสนองของ Notepad++
- ย้ายทั้งเว็บไซต์ไปยังผู้ให้บริการโฮสติ้งรายใหม่ที่มีระดับความปลอดภัยสูงกว่า
- เสริมความปลอดภัยให้ WinGup (ตัวอัปเดต) ใน v8.8.9 โดยเพิ่มการตรวจสอบใบรับรองและลายเซ็นของไฟล์ติดตั้ง รวมถึงนำการตอบกลับอัปเดตแบบ XML ที่มีการลงลายเซ็นมาใช้ และตั้งแต่ v8.9.2 จะบังคับให้การตรวจสอบนี้เป็นข้อบังคับ
คำแนะนำสำหรับผู้ใช้
- ทางโครงการขออภัยต่อผลกระทบจากการไฮแจ็กครั้งนี้ และแนะนำให้ดาวน์โหลดตัวติดตั้ง v8.9.1 ที่มีการปรับปรุงด้านความปลอดภัยโดยตรงเพื่อนำมาอัปเดตด้วยตนเอง
2 ความคิดเห็น
Notepad++ v7.8.1 : Free Uyghur
ผมคิดว่านี่น่าจะเป็นหนึ่งในสาเหตุหลักครับ
ถ้าตอนนี้ติดตั้งเวอร์ชันใหม่แบบแมนนวลแล้ว จะยังใช้งานได้อย่างสบายใจไหมครับ? หรือว่าเปลี่ยนไปใช้ตัวอื่นเลยจะดีกว่า..