Notepad++, l’editor di testo open source più amato, è stato vittima di un attacco informatico grave nel 2025. Un gruppo di hacker legato alla Cina, noto come Lotus Blossom, ha violato l’infrastruttura di hosting del software, permettendo di dirottare gli aggiornamenti per alcuni utenti specifici. La buona notizia? Il problema è stato risolto con la versione 8.8.9 rilasciata a dicembre 2025. Aggiorna immediatamente il tuo Notepad++ per evitare rischi.
Questo incidente evidenzia i pericoli delle supply chain attacks, dove anche software affidabili possono diventare vettori per malware. Il mantenitore Don Ho ha confermato che l’attacco non ha coinvolto il codice sorgente, ma solo il server di hosting condiviso. Gli aggressori hanno sfruttato controlli insufficienti negli aggiornamenti delle versioni precedenti, reindirizzando il traffico di utenti selezionati verso server malevoli. Soluzione rapida: verifica la tua versione e scarica l’ultima da fonti ufficiali. Notepad++ ha migrato su un nuovo provider con misure di sicurezza rafforzate e ruotato tutte le credenziali.
L’attacco è iniziato a giugno 2025 e si è protratto fino al 2 dicembre, quando l’accesso degli hacker è stato interrotto. Non ci sono prove di distribuzione massiccia di malware tramite l’updater, ma analisi forensi hanno rivelato comportamenti sospetti. Utenti con versioni obsolete potrebbero essere stati esposti a un backdoor personalizzato chiamato Chrysalis, progettato per spionaggio mirato su settori come governi, telecomunicazioni e infrastrutture critiche.
Perché è importante per te? Milioni di utenti, inclusi professionisti IT e aziende, dipendono da Notepad++. Un compromesso del genere poteva portare a furto di dati sensibili o accesso remoto. Fortunatamente, non sono stati rilevati exploit attivi recenti, ma la prudenza è d’obbligo: mantieni sempre il software aggiornato e usa antivirus affidabili.
Approfondimento tecnico
Gli hacker hanno compromesso il server di hosting, sfruttando vulnerabilità nei controlli di verifica degli aggiornamenti. In versioni precedenti all’8.8.9, l’updater non verificava adeguatamente l’integrità dei download, permettendo il dirottamento selettivo del traffico. L’attacco ha coinvolto la creazione di un eseguibile falso, ‘update.exe’, scaricato da un IP sospetto (95.179.213.0).
Questo file era un installer NSIS contenente:
- Uno script di installazione NSIS.
- BluetoothService.exe, una versione rinominata del Bitdefender Submission Wizard usata per DLL side-loading.
- BluetoothService, shellcode crittografato noto come Chrysalis.
- log.dll, una DLL malevola per decrittare ed eseguire lo shellcode.
Chrysalis è un implant sofisticato e ricco di funzionalità. Raccoglie informazioni di sistema e contatta un server C2 esterno (api.skycloudcenter[.]com), ora offline. È in grado di processare risposte HTTP per:
- Lanciare una shell interattiva.
- Creare processi.
- Eseguire operazioni su file.
- Caricare/scaricare file.
- Disinstallarsi.
L’analisi rivela uno sviluppo attivo nel tempo, con un file ‘conf.c’ progettato per recuperare un beacon Cobalt Strike tramite un loader personalizzato che incorpora shellcode Metasploit block API. Un loader degno di nota, ‘ConsoleApplication2.exe’, utilizza Microsoft Warbird, un framework interno non documentato di Microsoft per protezione e offuscamento del codice, modificando un proof-of-concept pubblico pubblicato da Cirosec nel settembre 2024.
Analisi tecnica approfondita: Lotus Blossom e le sue tattiche
Il gruppo Lotus Blossom (alias Billbug, Bronze Elgin, Lotus Panda, Raspberry Typhoon, Spring Dragon, Thrip) è attivo dal 2009, focalizzato su spionaggio in Asia sud-orientale e America centrale. L’attribuzione si basa su somiglianze con campagne precedenti, come l’uso di eseguibili legittimi da Trend Micro e Bitdefender per sideload di DLL malevole.
Tecniche evolute osservate:
- DLL side-loading, una tattica comune nei gruppi cinesi.
- Loader multi-livello di shellcode.
- Integrazione di chiamate di sistema non documentate (NtQuerySystemInformation).
- Mix di malware custom (Chrysalis) con tool commodity come Metasploit e Cobalt Strike.
- Adattamento rapido di ricerche pubbliche (abuso di Microsoft Warbird).
Queste evoluzioni indicano un passaggio a tattiche più resilienti e stealth, con meccanismi di persistenza via servizi e profiling di sistema post-compromesso. L’obiettivo era accesso a lungo termine per raccolta intelligence, non disruption immediata.
Comportamento osservato nei log:
L’esecuzione di ‘notepad++.exe’ e ‘GUP.exe’ precedeva ‘update.exe’. Non ci sono artefatti che confermino exploit diffusi, ma il targeting selettivo suggerisce operazioni di intelligence mirate su utenti con interessi in Est Asia.
Misure di mitigazione raccomandate per esperti:
- Implementa verifiche di integrità SBOM per aggiornamenti software.
- Monitora endpoint per processi NSIS sospetti e side-loading.
- Usa EDR per rilevare loader shellcode e C2 su domini simili.
- Ruota credenziali regolarmente e migra a hosting dedicati.
- Analizza log per pattern di dirottamento traffico (es. IP 95.179.213.0).
Impatto e lezioni apprese
L’incidente Notepad++ dimostra come anche progetti open source longevi siano bersagli per APT statali. Con decine di milioni di download, il potenziale danno era enorme, ma il targeting limitato ha contenuto le vittime. Il developer ha rafforzato i client-side checks per verificare download e analizzato log per confermare la cessazione dell’attività malevola.
Per organizzazioni: rivedi log interni e telemetria endpoint. Nessun IOC ufficiale è stato rilasciato, ma signature di Chrysalis possono essere create da tool come YARA basati su comportamenti descritti.
Conclusione per tecnici: Questo caso evolve il playbook degli APT cinesi, integrando ricerca pubblica con tool proprietari. Monitora Lotus Blossom per campagne simili in editor e tool dev.
Fonte: https://thehackernews.com/2026/02/notepad-hosting-breach-attributed-to.html
