Notepad++ ekibi, 2025’te eski barındırma sağlayıcısının ele geçirilmesiyle güncelleme trafiğinin seçili kullanıcılara kötü amaçlı sunuculara yönlendirildiğini doğruladı. Saldırı, uygulama kodunu değil altyapıyı hedef aldı; proje siteyi yeni bir sağlayıcıya taşıdı ve güncelleme doğrulamasını sıkılaştırdı.
Ne oldu?
Soruşturma, saldırganların Haziran 2025’te paylaşımlı sunucuya sızdığını, 2 Eylül 2025’te doğrudan sunucu erişimini kaybetseler bile sağlayıcının iç servis kimlik bilgileriyle 2 Aralık 2025’e kadar belirli kullanıcılara güncelleme yönlendirmesi yapabildiğini ortaya koyuyor. Bu süreçte yalnızca Notepad++ alanı hedeflendi; bazı kurbanlar gerçek güncelleme yerine sahte yükleyici aldı. Faaliyetin sınırlı bir grup kullanıcıyı hedef alması nedeniyle saldırının devlet destekli olduğu değerlendirmeleri öne çıkıyor.
Notepad++ tarafı, zincirin zayıf halkasının güncelleme aracı WinGUp olduğunu ve bu aracın eski sürümlerinde indirdiği kurulum dosyasının imzası/sertifikası yeterince katı doğrulanmadığı için trafik müdahalesiyle sahte bir yükleyicinin devreye sokulabildiğini belirtiyor. 9 Aralık 2025’te yayınlanan 8.8.9 sürümüyle yükleyici imza ve sertifika doğrulaması zorunlu hale geldi; 27 Aralık’ta çıkan 8.9 sürümü ise kendi kendine imzalı sertifikayı tamamen bırakarak GlobalSign sertifikasına geçti ve başarısız doğrulama durumlarını kayıt altına alan bir güvenlik günlüğü ekledi.
Topluluk ve güvenlik araştırmacıları, saldırının kapsamının geniş bir yayılmadan çok casusluk amaçlı, dar hedefli bir yönlendirme olduğunu; kurbanların çoğunun Doğu Asya’daki kuruluşlar olduğuna dair bulgular bulunduğunu aktarıyor. Uygulamanın kaynak kodu veya GitHub’daki resmi paketlerde bir oynama saptanmadı.
Ne yapmalı?
- Notepad++’ı 8.9.1 sürümüne güncelleyin. 8.8.9’dan 8.9.1’e geçişte otomatik güncelleme, sertifika değişikliği nedeniyle yükleyiciyi başlatmadığı için elle kurulum öneriliyor.
- Hâlâ eski bir sürüm kullanıyorsanız, en az 8.8.9 ve sonrası bir sürüme yükseltin; bu sürümler imza/sertifika doğrulaması ve ek güvenlik kayıtları içeriyor.
- Kurumlar için: 2025 Haziran–Aralık aralığında gup.exe’nin olağandışı bağlantıları veya beklenmeyen yükleyicilerle ilgili kayıtları gözden geçirin; şüpheli sistemlerde tarama yapın ve gerekiyorsa parolaları değiştirin.
Kısacası, sorun Notepad++’ın kendisinden ziyade eski barındırma altyapısındaki zafiyetten kaynaklandı. Proje, siteyi güvenli bir sağlayıcıya taşıdı ve güncelleme zincirini sert imza/sertifika doğrulamasıyla güçlendirdi. Kullanıcılar için en güvenli adım, Notepad++ 8.9.1’i manuel olarak temiz kurulumla yüklemek.
Kaynak: www.techspot.com
