Een beveiligingslek in het update-mechanisme van Notepad++ is misbruikt om kwaadaardige code te verspreiden. Wat eind oktober begon als een melding binnen de Notepad++ community, is later bevestigd als een structurele zwakte in de updater.
Analyse door BleepingComputer laat zien dat aanvallers via dit mechanisme malware konden uitvoeren. Notepad++ heeft inmiddels een fix uitgebracht in versie 8.8.9.
De eerste signalen verschenen op het officiële Notepad++-forum, waar een gebruiker meldde dat tijdens een automatische update een onbekende executable, %Temp%\AutoUpdater.exe, werd gestart vanuit het Notepad++-proces en de updater gup.exe(WinGUp). Deze executable verzamelde systeeminformatie via standaard Windows-commando’s en sloeg de output op in een bestand met de naam a.txt.
Uit nader onderzoek bleek dat dit bestand werd geüpload naar temp.sh, een publieke file-hostingdienst, met behulp van curl.exe. Dat gedrag wijkt af van de normale werking van Notepad++, dat geen standalone curl-binary gebruikt en geen systeeminformatie verzamelt. Ontwikkelaars en moderators binnen de community bevestigden dat het hier niet om legitieme functionaliteit ging.
Opvallend was dat de gebruikte Notepad++-binaries zelf overeenkwamen met officiële releases. Dat wees erop dat niet de applicatie was vervangen, maar dat het updateproces werd misbruikt om aanvullende kwaadaardige code uit te voeren. In eerste instantie bleef onduidelijk of het ging om een lokaal compromis of om manipulatie van het updateverkeer.
Begin december bracht BleepingComputer meer duidelijkheid. WinGUp bleek tot en met versie 8.8.8 geen cryptografische verificatie uit te voeren op gedownloade installers. De updater controleerde wel op nieuwe versies, maar valideerde niet of het installatiebestand was ondertekend met het officiële code signing-certificaat. Hierdoor kon een aanvaller die het updateverkeer wist te onderscheppen of om te leiden een kwaadaardige executable laten uitvoeren.
Getroffen bedrijven hebben belangen in Oost-Azië
Onderzoekers melden dat meerdere organisaties incidenten onderzochten waarbij Notepad++-processen het initiële toegangspunt vormden. In deze gevallen volgde actieve verkenning door aanvallers, wat wijst op gerichte aanvallen. Alle betrokken organisaties hadden belangen in Oost-Azië.
Het updateproces maakte gebruik van een XML-endpoint op notepad-plus-plus.org dat een downloadlocatie terugstuurt voor de nieuwste versie. Door dit verkeer te manipuleren kon de URL worden aangepast. Omdat de updater geen handtekeningcontrole uitvoerde, werd het bestand zonder verdere verificatie gestart.
Notepad++ nam in november een eerste maatregel door updates te beperken tot GitHub-downloads in versie 8.8.8. Op 9 december volgde versie 8.8.9, waarin zowel Notepad++ als WinGUp de digitale handtekening en het certificaat van installers controleren. Faalt die verificatie, dan wordt de update afgebroken.
Volgens de ontwikkelaars loopt het onderzoek naar de exacte aanvalsmethode nog. Wel wordt gebruikers dringend geadviseerd te upgraden naar versie 8.8.9.