Аналитики команды Cybereason GSOC обнаружили новую технику кибератак, связанную с эксплуатацией плагинов популярного текстового редактора Notepad++. По данным экспертов, злоумышленники активно внедряют вредоносные DLL-библиотеки через механизм загрузки плагинов, что позволяет им обходить стандартные средства защиты и сохранять присутствие в системе длительное время. Notepad++ - один из самых распространённых редакторов кода среди разработчиков и системных администраторов, что делает его привлекательной целью для злоумышленников.
Описание
Особую опасность несёт отсутствие строгой верификации локально устанавливаемых плагинов. Если злоумышленник получает права локального администратора, он может подменить или добавить вредоносный плагин, который будет автоматически загружаться при запуске программы. Такой метод уже использовался APT-группой StrongPity, специализирующейся на целевых атаках. Внедрённый бэкдор позволяет злоумышленникам скрытно собирать конфиденциальные данные, управлять заражённой системой и продвигаться по корпоративной сети.
Популярность Notepad++ значительно увеличивает поверхность атаки. Редактор установлен практически в каждой IT-инфраструктуре, что делает его удобным инструментом для масштабных кампаний. Кроме того, расширенная система плагинов предоставляет злоумышленникам широкие возможности для кастомизации вредоносного кода под конкретные цели. Например, плагины могут маскироваться под легитимные инструменты для работы с текстом, анализа кода или интеграции с облачными сервисами, что усложняет их обнаружение.
Аналитики отмечают, что атаки через плагины Notepad++ особенно опасны в корпоративных сетях, где администраторы часто используют этот редактор для настройки серверов и работы с конфигурационными файлами. Заражение одной машины может привести к цепной реакции, если вредоносный плагин получит доступ к общим сетевым ресурсам или учётным данным.
Данный инцидент ещё раз подчёркивает, насколько уязвимыми могут быть даже самые распространённые и доверенные инструменты. Злоумышленники постоянно ищут новые способы обхода защитных механизмов, и атаки через легитимное ПО становятся всё более популярными. IT-специалистам необходимо проявлять повышенную бдительность и своевременно обновлять как само ПО, так и системы кибербезопасности, чтобы минимизировать риски.
В ближайшее время эксперты ожидают рост числа подобных атак, особенно в среде разработчиков и системных администраторов. Поэтому компаниям следует пересмотреть политики безопасности, связанные с использованием сторонних плагинов и надстроек, а также обеспечить сотрудников актуальными инструментами для обнаружения угроз. Только комплексный подход к защите инфраструктуры позволит предотвратить серьёзные инциденты, связанные с эксплуатацией уязвимостей в доверенном ПО.
Индикаторы компрометации
SHA256
- 90bc7fa90705148d8ffeef9c3d55f349611905d3f7a4ad17b956cd7ee7a208af
