Notepad++: Vulnerabilità WinGup e dirottamento aggiornamenti da parte di hacker statali
Analisi dell'attacco hacker alla supply chain di Notepad++: il dirottamento del tool WinGup, le vulnerabilità corrette e l'attribuzione a gruppi APT cinesi.
Contenuto
Scopri anche
- Compromissione dell'infrastruttura di aggiornamento di Notepad++ da parte di hacker statali
- iOS 26: Cali di Autonomia della Batteria e Razionalizzazione Tecnica Secondo Apple
- ErrTraffic: Il servizio da $800 che automatizza gli attacchi ClickFix tramite falsi problemi del browser
- Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
- Vulnerabilità WinRAR CVE-2025-8088: Rischio Esecuzione Codice e Necessità di Aggiornamento Manuale
- Vulnerabilità WhisperPair negli auricolari Bluetooth: rischi e soluzioni
- Attacchi Spyware Mercenari su iPhone: Apple Conferma Minacce Globali
- iOS 26.2: sicurezza e nuove funzionalità per iPhone compatibili
- Windows 11: perché gli aggiornamenti sono diventati più pesanti con la 25H2
- Windows 10 KB5073724: l'aggiornamento cumulativo di gennaio 2026 per il programma ESU
- iOS 26: Aggiornamento, Sicurezza e Nuove Funzionalità per iPhone
- iOS 26.2: oltre 20 vulnerabilità corrette, due già sfruttate in attacchi mirati
- Windows 11: come risolvere il rallentamento dopo l'aggiornamento KB5072033
- iOS 26: adozione lenta e problematiche tecniche secondo le analisi
- iOS 26.3: Apple testa aggiornamenti di sicurezza modulari e adegua l'ecosistema al DMA
- Samsung rilascia la terza beta di One UI 8.5: focus su sicurezza e risoluzione bug
- Nuova Siri con Apple Intelligence: Tempistiche e Funzionalità Previste
- iOS 26.2: Patch Urgente Apple per Due Zero-Day in WebKit
Notepad++: Vulnerabilità WinGup e dirottamento aggiornamenti da parte di hacker statali
Lo sviluppatore di Notepad++, Don Ho, ha fornito maggiori dettagli su un attacco di hijacking che ha sfruttato una vulnerabilità del tool WinGup, utilizzato per il download delle nuove versioni del popolare editor open source. Il dirottamento del traffico non è stato causato da un bug nel codice di Notepad++, ma da un'intrusione nei sistemi del provider di hosting. L'attacco, iniziato a giugno 2025, ha consentito a cybercriminali di reindirizzare le richieste di aggiornamento verso un server malevolo, dal quale è stato distribuito un file AutoUpdater.exe fasullo contenente un infostealer.
Il meccanismo del dirottamento e il ruolo di WinGup
⬆ Torna suWinGup è lo strumento utilizzato da Notepad++ per verificare la disponibilità online di nuove versioni ed effettuare il download automatico. Le indagini hanno evidenziato che le richieste dirette al server ufficiale sono state dirottate verso un server controllato dagli aggressori. A causa di una vulnerabilità presente in Notepad++, corretta con la versione 8.8.9, il software non verificava correttamente il certificato e la firma dell'installer. Questo ha permesso l'esecuzione di un binario compromesso al posto dell'aggiornamento legittimo, in uno scenario di attacco di tipo Man-in-the-Middle (MitM).
La compromissione dell'infrastruttura di hosting
⬆ Torna suL'incidente ha avuto inizio nel giugno 2025 e si è protratto fino al 2 dicembre dello stesso anno. Gli attaccanti hanno ottenuto l'accesso ai server del provider di hosting condiviso, riuscendo a manipolare il flusso di dati destinato al dominio ufficiale di Notepad++. Il provider ha bloccato l'accesso diretto al server il 2 settembre 2025, in seguito a un intervento di manutenzione che ha aggiornato kernel e firmware. Tuttavia, i cybercriminali hanno mantenuto le credenziali dei servizi interni sottratte in precedenza, continuando a effettuare il reindirizzamento del traffico fino all'inizio di dicembre, quando il provider ha rilevato anomalie nei log di connessione e ha interrotto definitivamente l'accesso.
Il carattere mirato dell'attacco e l'attribuzione statale
⬆ Torna suL'operazione non è stata indiscriminata ma altamente selettiva, prendendo di mira utenti specifici. Analisi indipendenti hanno collegato l'attività a gruppi noti come "Lotus Blossom" o "Violet Typhoon" (APT31), entità storicamente associate ad attività di spionaggio per conto della Cina. I target principali includevano organizzazioni nei settori delle telecomunicazioni e dei servizi finanziari, con una concentrazione geografica negli Stati Uniti e in Asia orientale. I log indicano un'attenzione esclusiva per il dominio notepad-plus-plus.org, rafforzando l'ipotesi di un attacco alla supply chain chirurgico, progettato per infiltrare reti ad alto valore strategico.
Le misure correttive e il rafforzamento della sicurezza
⬆ Torna suIn risposta all'accaduto, il team di sviluppo ha migrato l'intero sito web su una nuova infrastruttura con protocolli di sicurezza più rigidi. Con il rilascio della versione 8.8.9, sono stati introdotti meccanismi di verifica crittografica obbligatoria. L'updater verifica ora in modo rigoroso sia la firma digitale sia il certificato dell'installer prima di procedere all'esecuzione. A partire dalla versione 8.8.7, tutti i binari ufficiali sono firmati con un certificato GlobalSign valido. La versione 8.9.2, prevista a breve, renderà obbligatoria la verifica della firma e del certificato, e l'XML restituito dal server di update sarà firmato tramite XMLDSig.
Raccomandazioni per gli utenti
⬆ Torna suGli utenti sono esortati ad aggiornare immediatamente Notepad++ all'ultima versione disponibile, almeno alla 8.8.9, per garantire la corretta verifica dell'integrità degli update. È consigliato evitare di eseguire installer scaricati da fonti non ufficiali, verificare le impostazioni di sicurezza del sistema rimuovendo eventuali certificati root non necessari, e utilizzare soluzioni antivirus monitorando i log di rete per attività sospette. Gli utenti possono anche disattivare l'aggiornamento automatico durante la configurazione iniziale e scaricare manualmente le nuove versioni dal sito ufficiale.
Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.
Fonti
⬆ Torna su- https://www.punto-informatico.it/notepad-plus-plus-dettagli-vulnerabilita-wingup/
- https://www.hwupgrade.it/news/software-business/allarme-notepad++-compromesso-per-sei-mesi-il-sistema-di-aggiornamento_149542.html
- https://www.ilsoftware.it/notepad-sotto-attacco-dietro-il-malware-hacker-sponsorizzati-dallo-stato/
- https://prothect.it/vulnerabilita/notepad-risolve-una-falla-che-consentiva-il-dirottamento-degli-aggiornamenti/
In breve
- wingup
- hijacking
- infostealer
- autenticità