Notepad++ supply chain attack breakdown
3 months ago
- #supply-chain-attack
- #cybersecurity
- #Notepad++
- Notepad++更新基础设施在2025年6月至9月期间遭入侵,攻击者持续访问权限直至2025年12月
- 攻击者采用多阶段执行链和载荷轮换策略,包括交替使用C2服务器地址、下载器及最终攻击载荷
- 受害者包括越南、萨尔瓦多和澳大利亚的个人用户,菲律宾某政府机构,萨尔瓦多某金融机构以及越南某IT服务提供商
- 安全人员观察到三条独立感染链,每条均具有独特特征和攻击载荷
- 感染链#1:恶意NSIS安装程序通过收集系统信息,利用ProShow软件漏洞部署Cobalt Strike信标
- 感染链#2:使用Lua脚本部署Metasploit下载器,进而投递Cobalt Strike信标
- 感染链#3:通过DLL侧加载技术部署定制化Chrysalis后门,该载荷与历史Cobalt Strike攻击存在相似性
- 攻击者频繁更换URL和载荷以规避检测,更新文件通过多个域名分发
- 检测方案包括监控NSIS安装程序、异常DNS解析记录及特定恶意shell命令
- 入侵指标(IoC)涵盖恶意URL、文件哈希值及攻击中使用的路径信息