卡巴斯基发布了一份详细的技术分析报告,揭示了Notepad++供应链攻击的完整细节。
这次攻击从2025年6月持续到12月,影响范围包括越南、萨尔瓦多、澳大利亚的个人用户,以及菲律宾政府机构、萨尔瓦多金融机构等。
攻击时间线
- 2025年6-9月:托管服务商层面被入侵
- 2025年7-10月:攻击者持续轮换C2服务器、下载器和最终载荷
- 2025年12月:攻击者仍保持对内部服务的访问
- 2026年2月2日:Notepad++官方发布声明
攻击手法
卡巴斯基发现了三种不同的感染链,攻击者展现了高度的技术多样性:
- 恶意更新通过合法的GUP.exe更新器启动
- 使用NSIS安装器收集系统信息并上传到temp.sh
- 利用ProShow软件的老漏洞(2010年代)执行恶意载荷,避开了常见的DLL侧载检测
受影响目标
| 地区 | 目标类型 |
|---|---|
| 越南、萨尔瓦多、澳大利亚 | 个人用户 |
| 菲律宾 | 政府机构 |
| 萨尔瓦多 | 金融机构 |
| 越南 | IT服务提供商 |
💡 富贵点评
供应链攻击是当前最危险的攻击方式之一。攻击者不直接攻击目标,而是攻击目标信任的软件供应商。
这次攻击的技术细节值得关注:攻击者故意避开了常见的DLL侧载检测,转而利用一个2010年代的老漏洞。这说明老漏洞不等于没用的漏洞,安全防护需要全面覆盖。
🔗 原文:Kaspersky Securelist
📊 HN热度:158点 · 74评论