Популярный текстовый редактор с открытым исходным кодом Notepad++ в прошлом году подвергся серьезному нарушению безопасности, и теперь его разработчик предоставил обновленную информацию об атаке.
Считается, что в период с июня по 10 ноября/2 декабря 2025 года (независимые эксперты по безопасности и хостинг-провайдер расходятся во мнениях относительно точного времени) общий хостинг-сервер был скомпрометирован, что позволило злоумышленникам перенаправить трафик обновлений Notepad++ на вредоносные серверы.
По данным компании Rapid7, занимающейся кибербезопасностью, атака может быть организована китайской APT-группой Lotus Blossom, злоумышленником, который, как известно, проводит «целевые шпионские кампании», в первую очередь затрагивая организации в Юго-Восточной Азии и Центральной Америке. Пользовательский бэкдор, использованный в атаке, с тех пор получил название «Chrysalis», и в объяснении его методологии я начинаю теряться, поэтому вместо этого я процитирую прямо из отчета Rapid7:
«Его широкий спектр возможностей указывает на то, что это сложный и постоянный инструмент, а не простая одноразовая утилита. Он использует законные двоичные файлы для загрузки созданной DLL с общим именем, что делает простое обнаружение на основе имени файла ненадежным.
«Он опирается на собственное хеширование API как в загрузчике, так и в основном модуле, каждый из которых имеет свою собственную логику разрешения. Это сочетается с многоуровневой обфускацией и довольно структурированным подходом к коммуникации C2».
Конечно, конечно. Однако основное беспокойство Rapid7, похоже, вызывает то, что Chrysalis и другие инструменты и методы, использованные в атаке, говорят о новых возможностях Lotus Blossom:
«Хотя группа продолжает полагаться на проверенные методы, такие как загрузка неопубликованных DLL и сохранение сервисов, их многоуровневый загрузчик шелл-кода и интеграция недокументированных системных вызовов (NtQuerySystemInformation) знаменуют явный сдвиг в сторону более гибкой и скрытной работы», — говорят в компании.
«Это демонстрирует, что Lotus Blossom активно обновляет свою стратегию, чтобы опережать современные методы обнаружения».
Глоток. Итак, хотя разработчик Notepad++ с тех пор перешел на другого хостинг-провайдера (с так называемыми «значительно более строгими методами обеспечения безопасности»), кажется, что Lotus Blossom набирает силу — и некоторые хостинг-провайдеры становятся жертвами его современных методов. Спи спокойно, сайт.
Лучший игровой комплект для ПК 2026 года
