Notepad++ güncelleyici kötü amaçlı yazılım yükledi | merhaba çevrimiçi

Notepad++'da yerleşik olarak bulunan güncellemeye kötü amaçlı yazılım bulaştı ve bazı bilgisayarlara yüklendi. Güçlü açık kaynaklı metin düzenleyicinin geliştiricisi, Notepad++ v8.8.9 güncellemesiyle yanıt veriyor. Kullanıcıların şu anda manuel olarak yükseltme yapması gerekiyor.

Notepad++ web sitesinde yer alan bir haberde geliştirici Don Ho, “bazı güvenlik uzmanlarının Notepad++'ı etkileyen İnternet trafiğinin ele geçirildiği olaylarını bildirdiğini” açıklıyor. Araştırma, Notepad++ WinGup güncelleyicisinden gelen trafiğin “ara sıra kötü amaçlı sunuculara yönlendirildiğini ve bunun da güvenliği ihlal edilmiş yürütülebilir dosyaların indirilmesine yol açtığını” ortaya çıkardı. BT güvenliği araştırmacısı Kevin Beaumont, “Güney Asya'da çıkarları olan” en az üç kuruluşun bu şekilde hedef alındığını bildirdi.

Beaumont'un açıkladığı gibi güncelleme, “https://notepad-plus-plus.org/update/getDownloadUrl.php” URL'sinin sorgulandığı ve teslim edilen XML dosyasının değerlendirildiği bir sürüm kontrolü kullanıyor. Güncelleyici, XML dosyasında listelenen indirme URL'sini kullanır, dosyayı %TEMP% klasörüne kaydeder ve çalıştırır. Bu trafiği yakalayabilen ve manipüle edebilen herkes indirme URL'sini değiştirebilir. Notepad++ sürüm 8.8.7'ye kadar geliştirici, Github kaynak kodlarında bulunan kendinden imzalı bir sertifika kullanıyordu. Bu şekilde imzalanan uygulamalar, kullanıcıların sertifikayı manuel olarak yüklememesi durumunda “Bilinmeyen Yayımcı” uyarısı oluşturduğundan, bu onların değiştirilmiş güncellemeler oluşturmasına ve bunları kurbanlara zorlamasına olanak tanıdı. Ancak 8.8.7 sürümünden beri Notepad++ meşru bir GlobalSign sertifikasına dayanmaktadır; artık kendi Notepad++ kök sertifikanızı yüklemenize gerek yok; bir uyarı görünürse etkilenen kişilerin dikkat etmesi gerekir.

Güncellemeler yoluyla çözüm

Notepad++ v8.8.8 ile güncelleyici artık WinGup'ı indirme kaynağı olarak github.com olmaya zorluyor. Çarşamba gecesi 8.8.9 sürümü, yükseltme işlemi sırasında indirilen yükleyicilerin imzalarını ve sertifikalarını doğru şekilde kontrol etmek için Notepad++ ve WinGup'ı daha da güçlendiriyor. Kontrol başarısız olursa güncelleme işlemi iptal edilir. Don Ho, gözlemlenen vakalarda trafiğin nasıl saptırıldığının ortaya çıkarılması için incelemelerin sürdüğünü vurguluyor.

Kevin Beaumont diğer bazı uzlaşma göstergelerini (IOC'ler) listeliyor. “gup.exe”den “notepad-plus-plus.org”, “github.com” ve “release-assets.githubusercontent.com” dışındaki URL'lere yapılan bağlantılar şüphelidir. Ayrıca “gup.exe”nin olağandışı bir işlem başlatmasına dikkat etmelisiniz: yalnızca “explorer.exe” ve “npp*” ile ilgili Notepad++ yükleyicileri çalışıyor olmalıdır; bunlar da sürüm 8.8.8'den bu yana GlobalSign sertifikasıyla imzalanmıştır. Gözlemlenen saldırılara göre, “gup.exe”nin güncellemeyi indirdiği ve buradan çalıştırdığı kullanıcının TEMP dizininde “update.exe” veya “AutoUpdater.exe” (Notepad++'ın kendisi bu adı kullanmaz) adlı dosyalar da bulundu.

Beaumont, en azından Notepad++ v8.8.8'e yükseltme yapmanızı önerir. Ancak 8.8.9 sürümü daha da güçlendirilmiştir. Notepad++ v8.8.8 yerleşik güncellemesi şu anda sürümü bulamıyor ve “winget” şu anda daha yeni bir yazılım sürümü bulamıyor. Ancak en son sürüm, Notepad++ web sitesinden manuel olarak indirilebilir.

Notepad++, popülaritesi ve yaygın kullanımı nedeniyle en çok kötü niyetli kişiler tarafından hedef alınmaktadır. Örneğin geçen yıl Don Ho, Google aramalarında orijinal Notepad++ sayfasına sızan “parazit bir web sitesinden” kurtulmak için yardım istedi. Haksız niyetleri vardı. Genel olarak, virüs bulaşmış dosyalar sunan sahte sayfalar, arama sonuçlarında daha sık görünür.

Ayrıca bakınız:

• Notepad++: Haber'den hızlı ve güvenli bir şekilde indirin

(Bilmiyorum)