Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
C’è un punto, nel lavoro quotidiano di chi si occupa di sicurezza, in cui la fiducia diventa una superficie d’attacco. Gli aggiornamenti automatici sono uno di questi punti, forse il più delicato. Il caso che ha coinvolto Notepad++ lo dimostra in modo piuttosto netto, e non lascia molto spazio a interpretazioni comode.
L’episodio è stato analizzato in dettaglio dai ricercatori di Unit 42, che hanno ricostruito una compromissione dell’infrastruttura di aggiornamento del software. Non un bug nel codice, non una svista degli sviluppatori, ma qualcosa di più sottile, insomma, e per questo più insidioso.
Tra giugno e dicembre 2024, un attore di minaccia sponsorizzato da uno Stato, tracciato come Lotus Blossom, ha compromesso l’infrastruttura di hosting utilizzata da Notepad++ per distribuire gli aggiornamenti. L’obiettivo principale non era il sito in sé, ma il meccanismo di update automatico usato dal software.
Gli attaccanti sono riusciti a intercettare alcune richieste di aggiornamento e a servire file malevoli al posto di quelli legittimi. Non si è trattato di una campagna indiscriminata: l’attività osservata mostra una selezione mirata delle vittime, probabilmente per ridurre la probabilità di essere scoperti troppo presto.
Notepad++ è ampiamente utilizzato anche in contesti professionali, su sistemi amministrativi e server, ed è proprio questa diffusione “silenziosa” che lo rende un vettore interessante in una catena di compromissione.
Secondo l’analisi di Unit 42, il file scaricato tramite il processo di aggiornamento era un installer NSIS denominato update.exe. Questo file avviava una catena di esecuzione malevola che sfruttava tecniche come il DLL sideloading, utilizzando componenti legittimi rinominati per caricare codice non autorizzato.
In alcuni casi, l’installer eseguiva uno script Lua che portava al caricamento di Cobalt Strike, usato come strumento di comando e controllo. Accanto a questo, i ricercatori hanno identificato elementi riconducibili a una variante del malware Elise, storicamente associato proprio al gruppo Lotus Blossom.
La combinazione di strumenti legittimi, script e malware noti rendeva l’attacco difficile da individuare, soprattutto in ambienti dove Notepad++ era considerato un software “di fiducia”.
Dopo la scoperta della compromissione, il progetto Notepad++ ha spostato l’infrastruttura di hosting e ha rafforzato i controlli legati al processo di aggiornamento. In particolare, è stata indicata la versione 8.7.1 come release contenente le correzioni rilevanti per mitigare il problema.
Il report di Unit 42 sottolinea come l’attacco fosse focalizzato principalmente sul meccanismo di aggiornamento automatico gestito tramite GUP.exe. Questo non consente di affermare, in modo assoluto, che ogni altra modalità di distribuzione fosse immune da rischi, ma chiarisce dove si concentrava l’azione dell’attore malevolo.
L’analisi completa, con indicatori di compromissione e dettagli tecnici, è stata pubblicata da Unit 42, che ha ricostruito l’operazione collegandola con alta confidenza al cluster Lotus Blossom.
Per la community di Red Hot Cyber, questo episodio ricorda una verità scomoda: la sicurezza della supply chain non riguarda solo librerie e dipendenze, ma anche i canali di distribuzione che diamo per scontati ogni giorno. Verificare firme, monitorare i flussi di update e ridurre la fiducia implicita nei meccanismi automatici non è paranoia, è igiene operativa.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
