Den populära txt-editorn Notepad++ med öppen källkod har utsatts för en sofistikerad attack i leverantörskedjan av en misstänkt statsstödd hotaktör.

Undersökningar av programvarans skapare, en privat incidenthanteringsleverantör och säkerhetsleverantören Rapid7 har bekräftat att attacken missbrukar arkitekturen för programvarudistribution, snarare än att utnyttja själva programvaran.

Projektets upphovsman använde en tredjepartsleverantör av infrastruktur för att distribuera programuppdateringar till användare, vilket enligt uppgift har upphört i skrivande stund.

Hotaktören komprometterade denna tredje part och kunde utföra en AITM/Redirection-attack vilket innebar att användarna laddade ner en skadlig uppdatering.

När den har laddats ner utför den skadliga programvarukomponenten en rad skadliga åtgärder som är utformade för att bibehålla ihållande åtkomst och förbli oupptäckta av säkerhetsprogramvara.

Följande åtgärder har identifierats under Rapid7:s forskning:

- Skapande av skadliga körbara filer

- Sidoladdning av DLL

- Fördunkling av kod i realtid med hjälp av krypterade kodsidor som ofta används för att undvika analys av skadlig kod

- Anslutning till en extern kommando- och kontrollkanal för ytterligare skadlig aktivitet.

- Traditionella persistensmekanismer, inklusive skadliga tjänster och registernycklar

Den skadliga programvarans funktionalitet när den körs på en komprometterad maskin inkluderar full reverse shell-åtkomst inom ramen för det exekverande programmet, skrivning och läsning av godtyckliga filer på disken, självborttagning och annat.

Tillgångsfönstret för hotaktören var enligt uppgift från juni 2025 till december 2025.

Sedan attacken har Notepad++ Author bytt hostingleverantör, inlett en incidentresponsprocess och släppt säkerhetsuppdateringar (v8.9.1) till Notepad++-programvaran.

Om användare inom din organisation har använt Notepad under det relevanta tidsfönstret är det klokt att en undersökning och kompromissbedömning utförs med hjälp av EDR-telemetri eller digital kriminalteknisk analys för att identifiera om den skadliga uppdateringen hade tillämpats.

IoC:er från Rapid7:s utredning finns tillgängliga här: https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

Dessa kan användas för att utföra utredningar.

Sofistikerade tredjepartsattacker av detta slag är svåra att motverka, eftersom det inte krävs någon annan användarinteraktion än att uppdatera programvaran med hjälp av officiella kanaler.

Därför är det mycket viktigt att rätt åtgärder för övervakning (EDR) och förebyggande (antivirus) finns på plats i din organisation.

Om du misstänker att den här incidenten kan ha påverkat din organisation, kontakta Integrity360 SOC eller Integrity360 Incident Response Team för att få hjälp.