
독립적인 연구원 Kevin Beaumont에 따르면, 세 개의 조직에서 Notepad++가 설치된 네트워크 내부의 장치에서 “키보드 위협 행위자가 발생하는” “보안 사고”가 발생했다고 말했습니다. 이는 해커가 웹 기반 인터페이스를 사용하여 직접 제어할 수 있다는 의미입니다. Beaumont는 세 조직 모두 동아시아에 관심이 있다고 말했습니다.
연구원은 Notepad++ 버전 8.8.8이 11월 중순에 “Notepad++ 업데이터가 Notepad++가 아닌 무언가를 제공하기 위해 하이재킹되는 것을 방지하기 위해” 버그 수정을 도입했을 때 의심이 촉발되었다고 설명했습니다.
이 업데이트는 GUP 또는 WinGUP으로 알려진 맞춤형 Notepad++ 업데이트 프로그램을 변경했습니다. gup.exe 실행 파일은 사용 중인 버전을 https://notepad-plus-plus.org/update/getDownloadUrl.php에 보고한 다음 gup.xml이라는 파일에서 업데이트 URL을 검색합니다. URL에 지정된 파일이 해당 장치의 %TEMP% 디렉터리에 다운로드된 후 실행됩니다.
보몬트는 다음과 같이 썼습니다.
이 트래픽을 가로채서 변경할 수 있는 경우 속성에서 URL을 변경하여 다운로드가 나타나는 위치로 리디렉션할 수 있습니다.
이 트래픽은 HTTPS를 통해 이루어져야 하지만 ISP 수준 및 TLS 인터셉트에 있는 경우 트래픽을 변조할 수 있는 것으로 보입니다. 이전 버전의 Notepad++에서는 트래픽이 HTTP를 통해서만 이루어졌습니다.
다운로드 자체는 서명되어 있지만 일부 이전 버전의 Notepad++에서는 Github에 있는 자체 서명된 루트 인증서를 사용했습니다. 이전 릴리스인 8.8.7에서는 이것이 GlobalSign으로 되돌아갔습니다. 사실상, 다운로드가 변조되었는지 확실하게 검사하지 않는 상황이 있습니다.
notepad-plus-plus.org로의 트래픽은 매우 드물기 때문에 ISP 체인 내부에 앉아서 다른 다운로드로 리디렉션하는 것이 가능할 수도 있습니다. 어떤 규모로든 이를 수행하려면 많은 리소스가 필요합니다.
Beaumont는 Notepad++의 월요일 권고를 두 달 앞둔 12월에 자신의 작업 이론을 발표했습니다. Notepad++의 세부 정보를 결합하면 이제 가설이 적중했다는 것이 분명해졌습니다.