Der beliebte Open-Source-Txt-Editor Notepad++ ist Ziel eines ausgeklügelten Angriffs auf die Lieferkette durch einen mutmaßlich staatlich unterstützten Bedrohungsakteur.
Untersuchungen des Herstellers der Software, eines privaten Anbieters von Notfallmaßnahmen und des Sicherheitsanbieters Rapid7 haben bestätigt, dass der Angriff die Architektur der Softwareverteilung missbraucht und nicht die Software selbst ausnutzt.
Der Autor des Projekts nutzte einen Drittanbieter für die Verteilung von Software-Updates an die Nutzer, der Berichten zufolge zum Zeitpunkt der Erstellung dieses Berichts nicht mehr existiert.
Der Bedrohungsakteur kompromittierte diesen Drittanbieter und war in der Lage, einen AITM/Redirection-Angriff durchzuführen, der dazu führte, dass Benutzer ein bösartiges Update herunterluden.
Nach dem Herunterladen führt die bösartige Softwarekomponente eine Reihe bösartiger Aktionen aus, die darauf abzielen, den dauerhaften Zugriff aufrechtzuerhalten und von Sicherheitssoftware unentdeckt zu bleiben.
Die folgenden Aktionen wurden bei der Untersuchung durch Rapid7 identifiziert:
- Erstellung von bösartigen ausführbaren Dateien
- DLL-Side-loading
- Code-Verschleierung in Echtzeit durch verschlüsselte Codeseiten, die üblicherweise verwendet werden, um eine Malware-Analyse zu vermeiden
- Verbindung zu einem externen Befehls- und Kontrollkanal für weitere bösartige Aktivitäten.
- Traditionelle Persistenzmechanismen einschließlich bösartiger Dienste und Registrierungsschlüssel
Die Funktionalität der Malware, sobald sie auf einem kompromittierten Rechner ausgeführt wird, umfasst den vollständigen Reverse-Shell-Zugriff im Kontext des ausgeführten Programms, das Schreiben und Lesen beliebiger Dateien auf der Festplatte, die Selbstentfernung und anderes.
Das Zugriffsfenster für den Bedrohungsakteur war Berichten zufolge von Juni 2025 bis Dezember 2025.
Seit dem Angriff hat der Notepad++-Autor den Hosting-Anbieter gewechselt, ein Verfahren zur Reaktion auf den Vorfall eingeleitet und Sicherheitsupdates (v8.9.1) für die Notepad++-Software veröffentlicht.
Wenn Benutzer innerhalb Ihrer Organisation Notepad während des relevanten Zeitfensters verwendet haben, ist es ratsam, eine Untersuchung und Kompromissbewertung mithilfe von EDR-Telemetrie oder digitaler forensischer Analyse durchzuführen, um festzustellen, ob das bösartige Update angewendet wurde.
IoCs aus der Untersuchung von Rapid7 sind hier verfügbar: https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
Diese können zur Durchführung von Ermittlungen verwendet werden.
Ausgeklügelte Angriffe dieser Art durch Dritte sind schwer abzuschwächen, da außer der Aktualisierung der Software über die offiziellen Kanäle keine Benutzerinteraktion erforderlich war.
Daher ist es von entscheidender Bedeutung, dass in Ihrem Unternehmen die richtigen Überwachungs- (EDR) und Präventionsmaßnahmen (Virenschutz) getroffen werden.
Wenn Sie vermuten, dass Ihre Organisation von diesem Vorfall betroffen ist, wenden Sie sich bitte an das Integrity360 SOC oder das Integrity360 Incident Response Team, um Unterstützung zu erhalten.