Il popolare editor txt open source Notepad++ è stato preso di mira in un sofisticato attacco alla catena di distribuzione da parte di un sospetto attore di minacce sponsorizzato dallo Stato.

Le indagini condotte dal creatore del software, da un fornitore privato di risposte agli incidenti e dal fornitore di sicurezza Rapid7 hanno confermato che l'attacco abusa dell'architettura di distribuzione del software, piuttosto che sfruttare il software stesso.

L'autore del progetto utilizzava un fornitore di infrastrutture di terze parti per distribuire gli aggiornamenti del software agli utenti, che al momento in cui scriviamo è stato interrotto.

L'attore della minaccia ha compromesso questa terza parte ed è stato in grado di eseguire un attacco AITM/Redirection che ha fatto sì che gli utenti scaricassero un aggiornamento dannoso.

Una volta scaricato, il componente software dannoso esegue una serie di azioni dannose progettate per mantenere l'accesso persistente e rimanere non rilevate dal software di sicurezza.

Durante la ricerca di Rapid7 sono state identificate le seguenti azioni:

- Creazione di file eseguibili dannosi

- Caricamento laterale di DLL

- Offuscamento del codice in tempo reale mediante pagine di codice crittografato comunemente utilizzate per evitare l'analisi del malware

- Connessione a un canale di comando e controllo esterno per ulteriori attività dannose.

- Meccanismi di persistenza tradizionali, tra cui servizi dannosi e chiavi di registro.

Le funzionalità del malware, una volta in esecuzione su un computer compromesso, comprendono l'accesso completo alla reverse shell nel contesto del programma in esecuzione, la scrittura e la lettura di file arbitrari su disco, l'auto-rimozione e altro.

La finestra di accesso per l'attore della minaccia è stata riferita dal giugno 2025 al dicembre 2025.

Dopo l'attacco, l'autore di Notepad++ ha cambiato fornitore di hosting, ha avviato un processo di risposta agli incidenti e ha rilasciato aggiornamenti di sicurezza (v8.9.1) per il software Notepad++.

Se gli utenti della vostra organizzazione hanno utilizzato Notepad durante la finestra temporale in questione, è prudente effettuare un'indagine e una valutazione della compromissione utilizzando la telemetria EDR o l'analisi forense digitale per identificare se è stato applicato l'aggiornamento dannoso.

Gli IoC dell'indagine di Rapid7 sono disponibili qui: https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/ 

Questi possono essere utilizzati per eseguire le indagini.

Gli attacchi sofisticati di terze parti di questa natura sono difficili da contrastare, poiché non è stata richiesta alcuna interazione da parte dell'utente, se non l'aggiornamento del software tramite i canali ufficiali.

Per questo motivo è di vitale importanza che all'interno della vostra organizzazione siano in atto le corrette misure di monitoraggio (EDR) e prevenzione (Anti-Virus).

Se sospettate che questo incidente possa aver colpito la vostra organizzazione, contattate il SOC di Integrity360 o il team di risposta agli incidenti di Integrity360 per ricevere assistenza.