Compromessa l’infrastruttura di aggiornamento di Notepad++
L’Agenzia per la Cybersicurezza Nazionale, tramite il CSIRT Italia, ha pubblicato un avviso sulla compromissione dell’infrastruttura di aggiornamento di Notepad++, il popolare editor di testo multipiattaforma. L’incidente non ha interessato direttamente il codice sorgente del software, ma il meccanismo di distribuzione degli update automatici, trasformando la catena di fornitura in un vettore d’attacco. Gli attori malevoli hanno ottenuto accesso non autorizzato al server di hosting condiviso, sfruttando una vulnerabilità del provider, e hanno potuto manipolare il traffico verso l’URL utilizzato dal client per recuperare le nuove versioni.
L’attacco si è basato sulla modifica dei manifest XML che istruiscono il componente di aggiornamento WinGUp, inducendolo a scaricare un installer compromesso da server sotto controllo degli attaccanti, ma presentato come legittimo. In questo modo è stato possibile distribuire pacchetti malevoli a target selezionati – in particolare sviluppatori e reparti IT – con il risultato di ottenere esecuzione di codice arbitrario con i privilegi dell’utente che effettuava l’aggiornamento. Evidenze tecniche mostrano che la catena è stata usata anche per installare la backdoor Chrysalis come vettore di accesso iniziale e persistenza sui sistemi colpiti.
Le analisi indicano che la compromissione del canale di aggiornamento è proseguita per diversi mesi nel 2025, rendendo critico il rischio per chi ha effettuato update in quel periodo. Il CSIRT Italia segnala che il problema riguarda soprattutto le versioni di Notepad++ precedenti alla 8.8.9, nelle quali mancavano adeguati controlli di integrità crittografica sui pacchetti scaricati. A partire dalla versione 8.8.9 sono stati introdotti controlli più stringenti su certificato e firma digitale, mentre la futura 8.9.2 aggiungerà la firma XMLDSig dei metadati per rafforzare ulteriormente la sicurezza.
Come misure di mitigazione, il CSIRT raccomanda di disinstallare completamente Notepad++ dalle postazioni potenzialmente esposte, rimuovendo eventuali directory residue, e reinstallare manualmente una versione considerata sicura (≥ 8.9.1) scaricata esclusivamente dal sito ufficiale del progetto.
Si suggerisce inoltre di verificare la presenza di task pianificati e chiavi di avvio automatico sospette, controllare processi anomali e installazioni da percorsi temporanei, analizzare il traffico di rete per possibili comunicazioni verso server di comando e controllo, ruotare credenziali locali e di sviluppo e integrare negli strumenti EDR/SIEM gli indicatori di compromissione e i pattern C2 pubblicati dai ricercatori.
L’episodio viene inquadrato come un grave caso di attacco alla supply chain software, che conferma la necessità di rafforzare i controlli sugli aggiornamenti automatici e sulle infrastrutture di terze parti.
Fonti: ACN