Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Пробивот на хостингот на Notepad++ се припишува на хакерската група Lotus Blossom поврзана со Кина

Објавено: 03.02.2026

Кинески поврзан напаѓач, познат како Lotus Blossom, со средно ниво на доверба е поврзан со неодамна откриениот компромис на инфраструктурата што го хостира Notepad++.

Нападот ѝ овозможил на државно поддржаната хакерска група да испорача досега недокументиран backdoor со кодно име Chrysalis до корисниците на open‑source уредувачот, според новите наоди на Rapid7.

Овој развој доаѓа кратко откако одржувачот на Notepad++, Дон Хо, изјави дека компромис на ниво на хостинг‑провајдер им овозможил на напаѓачите да го преземат контролата врз update‑сообраќајот почнувајќи од јуни 2025, и селективно да ги пренасочуваат барањата од одредени корисници кон малициозни сервери, со цел да испорачаат модифицирано ажурирање. Ова било овозможено со искористување на недоволни механизми за верификација на ажурирањата што постоеле во постарите верзии на алатката.

Ранливоста била затворена во декември 2025 со објавувањето на верзијата 8.8.9. Подоцна се дозна дека хостинг‑провајдерот на софтверот бил компромитиран за изведување таргетирани пренасочувања на сообраќајот сè до 2 декември 2025, кога пристапот на напаѓачот бил прекинат. Оттогаш, Notepad++ се пресели на нов хостинг‑провајдер со посилна безбедност и ги ротираше сите акредитиви.

Анализата на Rapid7 за инцидентот не откри докази или артефакти што би укажале дека механизмот поврзан со updater‑от бил искористен за ширење малициозен софтвер.

„Единственото потврдено однесување е дека извршувањето на notepad++.exe, а потоа и GUP.exe, му претходело на извршувањето на сомнителен процес update.exe, кој бил преземен од 95.179.213.0,“ изјави безбедносниот истражувач Иван Фајгл.

„Update.exe“ е инсталер базиран на Nullsoft Scriptable Install System (NSIS) кој содржи повеќе датотеки:

  • NSIS инсталациска скрипта
  • BluetoothService.exe, преименувана верзија на Bitdefender Submission Wizard, користена за DLL side‑loading (техника широко користена од кинески хакерски групи)
  • BluetoothService, енкриптиран shellcode (познат како Chrysalis)
  • log.dll, малициозна DLL датотека која се вчитува (sideload) за да го декриптира и изврши shellcode‑от

Chrysalis е наменски (bespoke) имплант богат со функционалности кој собира системски информации и воспоставува контакт со надворешен сервер („api.skycloudcenter[.]com“) со цел веројатно да прима дополнителни команди за извршување на заразениот хост.

Серверот за команда и контрола (C2) моментално е офлајн. Сепак, подлабока анализа на обфусцираниот артефакт откри дека тој е способен да обработува влезни HTTP одговори за да стартува интерактивна shell‑околина, да креира процеси, да извршува операции со датотеки, да прикачува/презема датотеки и да се деинсталира сам.

„Во целина, примерокот изгледа како нешто што активно се развивало со текот на времето,“ соопшти Rapid7, додавајќи дека идентификувале и датотека наречена „conf.c“, дизајнирана да преземе Cobalt Strike beacon преку прилагоден loader кој вградува Metasploit block API shellcode.

Еден таков loader, „ConsoleApplication2.exe“, е особено значаен поради користењето на Microsoft Warbird — недокументирана внатрешна рамка за заштита и обфускација на код — за извршување shellcode. Утврдено е дека напаѓачот копирал и модифицирал веќе постоечки proof‑of‑concept (PoC) објавен од германската компанија за сајбер‑безбедност Cirosec во септември 2024 година.

Rapid7 ја припишува Chrysalis на Lotus Blossom (позната и како Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon и Thrip) врз основа на сличности со претходни кампањи на истиот актер, вклучувајќи една документирана од Symantec (во сопственост на Broadcom) во април 2025 година, која вклучувала користење легитимни извршни датотеки од Trend Micro и Bitdefender за DLL side‑loading на малициозни DLL‑и.

„Иако групата продолжува да се потпира на докажани техники како DLL side‑loading и перзистентност преку сервиси, нивниот повеќеслоен loader за shellcode и интеграцијата на недокументирани системски повици (NtQuerySystemInformation) означуваат јасен премин кон поотпорен и по‑стелт начин на работа,“ наведува компанијата.

„Она што се издвојува е мешавината на алатки: распоредување на сопствен малициозен софтвер (Chrysalis) заедно со комерцијално достапни рамки како Metasploit и Cobalt Strike, како и брзата адаптација на јавно објавени истражувања (конкретно злоупотребата на Microsoft Warbird). Ова покажува дека Billbug активно го ажурира својот пристап за да остане чекор пред современите механизми за детекција.“

Извори:

  • The Hacker News – Notepad++ Hosting Breach Attributed to China-Linked Lotus Blossom Hacking Group The Hacker News