Compromissione dell'infrastruttura di aggiornamento di Notepad++ da parte di hacker statali
Analisi dell'attacco supply chain che ha colpito il meccanismo di aggiornamento di Notepad++, con compromissione a livello di hosting provider e reindirizzamen…
Contenuto
Scopri anche
- iOS 26: Cali di Autonomia della Batteria e Razionalizzazione Tecnica Secondo Apple
- Notepad++: Vulnerabilità WinGup e dirottamento aggiornamenti da parte di hacker statali
- Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
- ErrTraffic: Il servizio da $800 che automatizza gli attacchi ClickFix tramite falsi problemi del browser
- Vulnerabilità WinRAR CVE-2025-8088: Rischio Esecuzione Codice e Necessità di Aggiornamento Manuale
- Vulnerabilità WhisperPair negli auricolari Bluetooth: rischi e soluzioni
- Attacchi Spyware Mercenari su iPhone: Apple Conferma Minacce Globali
- iOS 26.2: sicurezza e nuove funzionalità per iPhone compatibili
- Windows 11: perché gli aggiornamenti sono diventati più pesanti con la 25H2
- Windows 10 KB5073724: l'aggiornamento cumulativo di gennaio 2026 per il programma ESU
- iOS 26: Aggiornamento, Sicurezza e Nuove Funzionalità per iPhone
- iOS 26.2: oltre 20 vulnerabilità corrette, due già sfruttate in attacchi mirati
- Windows 11: come risolvere il rallentamento dopo l'aggiornamento KB5072033
- iOS 26: adozione lenta e problematiche tecniche secondo le analisi
- iOS 26.3: Apple testa aggiornamenti di sicurezza modulari e adegua l'ecosistema al DMA
- Samsung rilascia la terza beta di One UI 8.5: focus su sicurezza e risoluzione bug
- Nuova Siri con Apple Intelligence: Tempistiche e Funzionalità Previste
- iOS 26.2: Patch Urgente Apple per Due Zero-Day in WebKit
Attacco mirato all'infrastruttura di aggiornamento di Notepad++
Un attacco informatico di notevole sofisticazione ha colpito Notepad++, il celebre editor di testo open source, nel corso del 2025. La documentazione indica che il sistema di aggiornamento integrato nell'applicazione ha iniziato a scaricare malware sui computer degli utenti. L'origine della compromissione non è stata identificata nel codice del software stesso, bensì nell'ambiente di hosting che gestiva parte della sua infrastruttura di aggiornamento.
La natura dell'attacco supply chain
⬆ Torna suGli attori malevoli sono riusciti a ottenere accesso all'infrastruttura del provider di hosting. Questo accesso ha permesso loro di intercettare in modo selettivo il traffico di rete diretto al dominio ufficiale di Notepad++, notepad-plus-plus.org. Le richieste al servizio di aggiornamento erano reindirizzate verso server controllati dagli attaccanti, i quali restituivano manifest XML alterati contenenti URL di download malevoli. La procedura di aggiornamento, quindi, scaricava involontariamente componenti compromessi.
Il carattere dell'operazione è stato descritto come altamente mirato. Non si è trattato di una campagna indiscriminata, ma di un'azione selettiva, con logiche compatibili con operazioni di spionaggio o supply-chain attack avanzati. I log di sistema analizzati mostrano un'attenzione esclusiva per il dominio di Notepad++, a discapito di altri clienti ospitati sullo stesso server condiviso.
Attribuzione e modalità operative
⬆ Torna suSecondo le evidenze raccolte dai mantenitori del software insieme a ricercatori indipendenti e a un team di incident response, la compromissione iniziale risale a giugno 2025. Molti analisti hanno attribuito l'attività a un gruppo statale, con ipotesi che puntano a una matrice cinese, coerente con il livello di sofisticazione osservato. Tale attribuzione si basa su caratteristiche operative, targeting behavior e riutilizzo di infrastrutture, sebbene rimanga di difficile verifica conclusiva.
Un intervento di manutenzione del provider, avvenuto il 2 settembre 2025 con aggiornamenti di kernel e firmware, avrebbe interrotto l'accesso diretto degli attaccanti al server. Tuttavia, un elemento critico emerso successivamente riguarda la persistenza delle credenziali interne. Anche dopo la perdita dell'accesso al sistema operativo, gli attori ostili avrebbero mantenuto l'uso di credenziali valide per i servizi interni fino al 2 dicembre 2025, continuando a reindirizzare il traffico di aggiornamento.
Questa finestra temporale spiega la discrepanza tra le valutazioni dei ricercatori di sicurezza, che collocano la fine operativa dell'attacco intorno al 10 novembre, e la posizione ufficiale del provider, che riconosce la possibilità di abuso fino a dicembre 2025. Combinando entrambe le valutazioni, il periodo complessivo della compromissione è stimato da giugno al 2 dicembre 2025.
Obiettivi e meccanismo di sfruttamento
⬆ Torna suÈ probabile che gli aggressori abbiano usato il meccanismo di aggiornamento di Notepad++ come vettore per raggiungere obiettivi più specifici nei loro bersagli prescelti, piuttosto che colpire tutti gli utenti. L'obiettivo erano probabilmente istituzioni o aziende con valore strategico, come operatori di telecomunicazioni, istituzioni finanziarie o agenzie governative. Gli attaccanti hanno sfruttato debolezze note nei meccanismi di verifica degli aggiornamenti presenti nelle versioni meno recenti del software.
Il problema specifico risiedeva nel modo in cui l'utility di aggiornamento WinGup verificava l'integrità e l'autenticità del file scaricato. Un attaccante in grado di intercettare il traffico di rete tra il client e il server poteve ingannare il tool facendogli scaricare un binario diverso. Questo tipo di attacco "on-path" può essere difficile da rilevare e può lasciare limitate evidenze forensi, specialmente quando colpisce solo un ristretto insieme di utenti.
Misure di mitigazione e risposta
⬆ Torna suLo sviluppatore di Notepad++ ha reagito prontamente all'incidente. Il sito web del progetto è stato migrato verso un nuovo provider di hosting caratterizzato da pratiche di sicurezza significativamente più robuste. Contemporaneamente, è stata pubblicata una versione aggiornata del software per risolvere alla radice il problema.
A partire dalla versione 8.8.9, il componente di aggiornamento WinGup è stato potenziato. Ora verifica non solo il certificato TLS, ma anche la firma digitale dell'installer scaricato. Inoltre, l'XML restituito dal server di update è firmato tramite XMLDSig. Con la versione 8.9.2, prevista a breve, la verifica della firma e del certificato diventerà obbligatoria. Questo approccio riduce drasticamente la possibilità di attacchi di reindirizzamento, anche in caso di una futura compromissione dell'infrastruttura di rete o di hosting.
Il provider di hosting precedentemente coinvolto ha spostato tutti i clienti interessati su un nuovo server, ha sistemato le vulnerabilità che erano state sfruttate e ha ruotato tutte le credenziali che potevano essere state esposte. Un successivo review dei log di sistema non ha evidenziato prove di accesso persistente degli attaccanti o di attività malevola continuativa.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.ilsoftware.it/notepad-sotto-attacco-dietro-il-malware-hacker-sponsorizzati-dallo-stato/
- https://securityaffairs.com/187531/security/nation-state-hack-exploited-hosting-infrastructure-to-hijack-notepad-updates.html
- https://therecord.media/popular-text-editor-hijacked-by-suspected-state-sponsored-hackers
- https://thehackernews.com/2026/02/notepad-official-update-mechanism.html
In breve
- aggiornamento
- hosting
- malware
- infrastruttura