ربما قام مستخدمو محرر النصوص والأكواد Notepad++ بتنزيل تحديث ضار للتطبيق دون قصد بعد أن تم اختراق خوادم الاستضافة المشتركة الخاصة به في العام الماضي. يوم الاثنين، قام مطور التطبيق، دون هو، نشر تحديثًا للهجوم مع مزيد من التفاصيل، بما في ذلك أن المتسللين كانوا “على الأرجح مجموعة ترعاها الدولة الصينية” وأن خوادم التطبيق كانت عرضة للخطر لمدة ستة أشهر تقريبًا من يونيو حتى 2 ديسمبر 2025.
يوضح المنشور أن عملية الاختطاف حدثت في نهاية موفر الاستضافة السابق للتطبيق الذي لم يذكر اسمه، مشيرًا إلى أنه “تمت إعادة توجيه حركة المرور من بعض المستخدمين المستهدفين بشكل انتقائي إلى بيانات التحديث الضار التي يتحكم فيها المهاجم”. عندما تتم إعادة توجيه الضحايا، يمكن استبدال تحديث التطبيق الخاص بهم بملف ضار قابل للتنفيذ، وفقًا لما ذكرته صحيفة إندبندنت خبير الأمن السيبراني كيفن بومونت، ربما يكون قد منح المتسللين إمكانية الوصول عن بعد إلى لوحة مفاتيح الضحية.
يضيف منشور Don Ho أيضًا أن الهجوم تضمن “استهدافًا انتقائيًا للغاية” فيما يتعلق بالضحايا الذين أعاد توجيههم بعيدًا عن موقع Notepad ++ الشرعي. وأشار كيفن بومونت إلى أن الضحايا الذين تحدث معهم “هم (منظمات) لها مصالح في شرق آسيا”. لذلك، على الرغم من أن هذه ثغرة أمنية خطيرة، فمن الممكن أن يكون المتسللون مشغولين بمراقبة أشخاص محددين بدلاً من مراقبة أي شخص فقط.
ولم يحدد المطور متى أصبح على علم بالهجوم، لكنه قال إنه “تم إنهاء وصول المهاجم بالكامل” بحلول الثاني من ديسمبر. تم تحديث برنامج تحديث Notepad++ بنفسه بإجراءات أمان أقوى للتحقق من التلاعب والتحقق من شرعية التحديثات.
يجب على مستخدمي برنامج Notepad ++ التأكد من وجودهم على الأقل الإصدار 8.8.9، والتي عالجت نقاط الضعف الناتجة عن هجوم الاختطاف، ومن المحتمل أن يقوموا بتنزيل هذا الإصدار مباشرة من موقع Notepad++. بالإضافة إلى ذلك، اقترح كيفن بومونت على المستخدمين التحقق جيدًا من أنهم لا يستخدمون إصدارًا غير رسمي من برنامج Notepad++، ومراقبة النشاط من “gup.exe”، وهو مُحدِّث التطبيق، والتحقق من وجود ملف “update.exe” أو “AutoUpdater.exe” مشبوه في مجلد TEMP الخاص بهم.
ومن الجدير بالذكر أن دون هو، مطور برنامج Notepad++، وانتقدت الحكومة الصينية في تحديث التطبيق لعام 2019. أطلق على هذه النسخة اسم طبعة “الأويغور الحرة”، وأخبرها الحافة في الوقت الذي واجه فيه موقعه الإلكتروني هجمات DDoS ردًا على ذلك.
