Важной новостью прошлой недели стало сообщение о взломе обновлений текстового редактора Notepad++ (официальное заявление, новость на Хабре). По данным разработчиков, взломан был механизм обновления редактора, точнее инфраструктура, обеспечивающая автоматическую доставку новых версий программы. Взлом произошел на уровне хостингового провайдера: в редких (даже можно сказать исключительных) случаях пользователи получали вместо настоящего апдейта вредоносный файл.
Изначально сообщалось о том, что виртуальный сервер, с которого раздавались обновления, был взломан в июне 2025 года. По данным провайдера, в сентябре на сервер накатили обновления, которые закрыли доступ взломщикам. Но тот же провайдер говорит, что учетные данные к ряду внутренних сервисов на том же сервере могли использоваться организаторами атаки вплоть до начала декабря 2025 года. 9 декабря создатели Notepad++ решили проблему радикально, ужесточив проверки при обновлении и сменив поставщика услуг хостинга. 4 февраля эксперты «Лаборатории Касперского» опубликовали результаты собственного расследования, в котором выяснили, что происходило с жертвами атаки и как долго угроза была активной.
Из их исследования можно сделать два главных вывода. Первый: атака была узконацеленной: в публикации анализируются «три цепочки заражения, предназначенных для атак на более чем 10 компьютеров». Постоянная смена адресов, с которых жертвы получали вредоносные файлы, самих файлов и даже методов выполнения вредоносного кода также говорит о том, что организаторы атаки не хотели «спалить» ценный ресурс раньше времени. Второй вывод: решения «Лаборатории Касперского» успешно остановили данные атаки, несмотря на доставку вредоносного кода через «доверенный» канал обновления легитимного ПО.
Во всех случаях жертвы атаки получали файл update.exe не с официального сервера Notepad++. Вместо этого они перенаправлялись на сервер, контролируемый злоумышленниками. При запуске этого файла злоумышленникам отправлялось сообщение. Далее создавался каталог %appdata%\ProShow, куда помимо вредоносного кода сохранялся вывод двух команд: whoami и tasklist. Эти данные о системе загружались на хостинг temp.sh, а ссылка на загруженный файл высылалась организаторам. Вместе с вредоносным кодом распаковывалась легитимная программа ProShow — это ныне не разрабатываемая утилита для создания слайд-шоу из фото и видео. В программе задействовалась древняя, известная еще с начала 2010-х годов уязвимость, с помощью которой выполняелся шелл-код. А уже он загружал «полезную нагрузку»: утилиту Cobalt Strike Beacon.
Вторая цепочка атаки также меняла URL и адреса для загрузки вредоносного кода и связи с организаторами. Но в ней был использован принципиально другой способ выполнения вредоносного кода: с помощью интерпретатора Lua. Третий вариант заражения использовал легитимную программу BluetoothService.exe, а вредоносный код выполнялся методом DLL sideloading. Этот вариант заражения был также описан в публикации компании Rapid7. Важным дополнением к официальным данным разработчиков Notepad++ является таймлайн обнаруженных попыток заражения:
Первые атаки были зафиксированы в июле, спустя месяц по��ле предполагаемого взлома инфраструктуры. Обновления сервера в сентябре 2025 никак не помогли решить проблему. Упомянутый выше третий вариант атаки с BluetoothService.exe был зафиксирован в начале октября, а в середине октября отмечались попытки заражения с более ранним вариантом атаки, использующим интерпретатор Lua. Эти данные частично подтверждаются сообщениями на форуме Notepad++ (пример), датированными концом октября 2025 года. В ноябре прошлого года атаки не были зафиксированы, а в начале декабря проблема была решена и путем смены хостера, и через усиление проверок механизма обновления.
Любопытно, что в апдейте от 5 февраля разработчики Notepad++ в качестве радикальной меры рекомендуют корпоративным пользователям устанавливать текстовый редактор с полностью отключенной системой обновления. Этот вариант хоть и может спасти от следующей атаки класса supply chain, несет угрозу противоположного плана: рано или поздно в таком популярном софте может обнаружиться уязвимость, закрывать которую придется вручную. В публикации также анализируется, как корпоративные решения «Лаборатории Касперского» блокируют подобные атаки по целому ряду вредоносных признаков: это и обращение к «сомнительному» ресурсу temp.sh, и использование штатных утилит Windows для сбора информации о системе, и откровенно вредоносные действия вроде закрепления ПО в автозапуске.
Что еще произошло
Еще одно исследование «Лаборатории Касперского» анализирует деятельность группировки Stan Ghouls, атакующей цели в России и Узбекистане.
Прошедшая неделя также отметилась исследованиями в области безопасности ИИ-сервисов. Свежесозданная и сразу же ставшая популярной «соцсеть для роботов» Moltbook, как выяснили в компании Wiz, использовала открытую всем желающим базу данных. В общем доступе лежали 1,5 миллиона API-токенов и 35 тысяч адресов электронной почты. Еще одна модная новинка — персональный ИИ-помощник OpenClaw (ранее известный как Clawdbot и Moltbot), устанавливаемый локально, но требующий платной подписки. Пользователи OpenClaw атакуются традиционным методом: путем публикации вредоносных расширений (или «скиллов») как просто на GitHub, так и в официальном репозитории. Установка такого расширения может открыть злоумышленникам доступ к электронной почте и другим приватным данным.
Исследование компании Datadog показывает, как злоумышленники подменяют конфигурацию веб-сервера nginx для использования во вредоносных целях. Для взлома серверов используется уязвимость React2Shell.
