Notepad++ fixes flaw that let attackers push malicious update files
2025/12/11 BleepingComputer — Notepad++ が公開したのは、WinGUp アップデート・ツールの脆弱性を修正するバージョン 8.8.9 である。研究者およびユーザーからインシデントが報告されたことを受け、このバージョンがリリースされた。その背景にあるのは、WinGUp アップデート・ツールが、正規のアップデート・パッケージではなく悪意の実行ファイルを取得するという問題である。この問題の最初の兆候は、Notepad++ コミュニティ・フォーラムのトピックで確認された。Notepad++ のアップデート・ツール GUP.exe (WinGUp) が、デバイス情報を収集する未知のコマンドである、”%Temp%\AutoUpdater.exe” というファイルを生成したと、あるユーザーが報告したのだ。
この報告者によると、上記の悪意の実行ファイルは、さまざまな偵察コマンドを実行し、その出力を “a.txt” というファイルに保存していたという。
cmd /c netstat -ano >> a.txt
cmd /c systeminfo >> a.txt
cmd /c tasklist >> a.txt
cmd /c whoami >> a.txt
その後、このマルウェアである “autoupdater.exe” は、”curl.exe” コマンドを使用して “a.txt” ファイルを “temp[.]sh” へ送信した。この “temp[.]sh” とは、以前にマルウェア攻撃で使用されたファイルおよびテキストを共有する Web サイトである。
なお、正規の GUP は “curl.exe” コマンドではなく “libcurl” ライブラリを使用し、また、この種の情報を収集しない。そのことから、他の Notepad++ ユーザーたちが推測したのは、対象となるユーザーが非公式かつ悪意のバージョンの Notepad++ をインストールした可能性と、自動更新のネットワーク・トラフィックがハイジャックされた可能性である。
こうした状況を受けて、11月18日に Notepad++ 開発者である Don Ho は、ネットワーク・ハイジャックという潜在的な可能性を軽減するバージョン 8.8.8 をリリースし、GitHub からのみアップデートをダウンロードするよう仕様を変更した。
さらに 12月9日には Notepad++ 8.8.9 がリリースされ、開発者のコード署名証明書に署名されていない更新プログラムのインストールが防止されるようになった。
Notepad++ 8.8.9 のセキュリティ通知には、「このリリース以降において、Notepad++ と WinGUp は、更新プロセス中にダウンロードされたインストーラーの署名と証明書を検証するように強化された。検証に失敗した場合には、更新は中止される」と記載されている。
更新 URL の乗っ取り
今月の初めにセキュリティ専門家である Kevin Beaumont は、3つの組織からNotepad++ に関連するセキュリティ・インシデントの報告を受けたと警告した。
Beaumont は、「Notepad++ がインストールされたマシンでセキュリティ・インシデントが発生したという報告を3つの 組織から受けている。これらのケースでは、 Notepad++ のプロセスがイニシャル・アクセスを引き起こしたようだ。その結果として、脅威アクターによるキーボード操作が行われたという。
この研究者によると、それらの組織を標的にしたのは、いずれも東アジアに関心を持つ攻撃者である。この活動は標的を絞り込んだものであり、インシデント後に被害者に対する偵察が行われたという。
Notepad++ はアップデートを確認する際に、”https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<versionnumber>” に接続する。このエンドポイントは、新しいバージョンが存在する場合に、最新版ダウンロード・パスを示す XML データを返す。
<GUP>
<script/>
<NeedToBeUpdated>yes</NeedToBeUpdated>
<Version>8.8.8</Version>
<Location>https://github.com/notepad-plus-plus/notepad-plus-plus/releases/download/v8.8.8/npp.8.8.8.Installer.exe</Location>
</GUP>
これらのインシデントでは、Notepad++ の自動更新メカニズムが乗っ取られ、脅威アクターがリモート・アクセスを得るための、悪意の更新をプッシュした可能性があると、Beaumont は推測している。
彼は、「このトラフィックを傍受して変更できれば、<Location> プロパティの URL を変更し、ダウンロード先を任意の場所へリダイレクトできる。”notepad-plus-plus.org” へのトラフィックは非常に少ないため、ISP チェーン内に潜伏し、他のダウンロードへとリダイレクトすることは理論的には可能である。ただし、この戦術を大規模に実施するには大量のリソースが必要になる」と付け加えている。
その一方で Beaumont は、この脅威アクターがマルバタイジングを利用して悪意の Notepad++ を配布し、マルウェアをインストールさせるケースもあり得ると指摘している。
Notepad++ のセキュリティ通知も同様の認識を示し、トラフィック乗っ取りの手法について調査中であるとしている。この通知には、「トラフィック乗っ取りの、正確な方法を特定するための調査が進行中である。原因に関する具体的な証拠が確認され次第、ユーザーへ通知する」と記載されている。
Notepad++ の開発者が指摘するのは、すべてのユーザーが最新バージョン 8.8.9 へとアップグレードする必要があることだ。また、バージョン 8.8.7 以降においては、すべての公式バイナリ/インストーラーが有効な証明書で署名されているため、過去に古いカスタム・ルート証明書をインストールしたユーザーは、それを削除すべきであるとも述べている。
12月3日に BleepingComputer は Notepad++ 開発者へ問い合わせを行ったが、まだ回答は得られていない。
この問題の原因は、アップデート・ツール WinGUp にあります。本来であれば、このツールにより正規のアップデート・パッケージが取得されるはずですが、悪意の実行ファイルをダウンロードしてしまう可能性があったとされます。ユーザーのデバイス情報が収集されるという報告も上がっているため、Notepad++ を利用する開発者が危険にさらされます。ご利用のチームは、ご注意ください。よろしければ、Notepad++ での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.