2026/02/04 7:35
**Notepad++ サプライチェーン攻撃の概要** - **初期侵入** - 正規アップデートパッケージに悪意あるコードが挿入される - 悪用は改ざん済み GitHub リポジトリ経由で配信される - **実行経路** - ユーザーが感染したインストーラをダウンロードし実行する - インストーラは音声なしにバックドアコンポーネントをインストール - **永続化メカニズム** - 悪意ある DLL を system32 に追加 - Windows レジストリにオートランエントリーを登録 - **コマンド&コントロール (C&C)** - HTTPS 経由でステルスな C&C サーバへ通信 - 追加ペイロードと設定データを取得 - **情報漏洩** - クリップボード内容、ブラウザ履歴、認証情報を収集 - 暗号化されたパケットを攻撃者の IP に送信 - **防御回避** - プロセスインジェクションでアンチウイルス検知から隠蔽 - オブフュケーションと自己復号技術を使用 - **対策手順** 1. ダウンロードしたファイルの SHA256 ハッシュを公式リリースと照合 2. 公式サイトまたは信頼できるパッケージマネージャからのみインストール 3. アンチウイルス署名を最新に保ち、完全システムスキャンを実施 4. 異常な外向き HTTPS 通信を監視 5. クリーン版がリリースされたら速やかに Notepad++ をパッチ適用 - **重要ポイント** - サプライチェーン攻撃は、広く信頼されているソフトウェアでも侵害可能 - 検証・監視・パッチ適用という多層防御が不可欠 - コミュニティの警戒と迅速な対応が被害を大幅に軽減する ---
RSS: https://news.ycombinator.com/rss
要約▶
日本語訳:
(主要なポイントをすべて含む)
要約
この記事は、2025年6月から9月にかけてホスティングプロバイダーのインシデントによって更新インフラストラクチャが侵害されたことから始まった、Notepad++ に対する高度なサプライチェーン攻撃を報告しています。攻撃者は 2025 年12月まで内部アクセスを維持し、2025年7月から10月にかけて C2(Command‑and‑Control)サーバーのアドレスをローテーションしつつ、以下のような URL にホストされた NSIS インストーラ経由で悪意ある更新を配布しました。
http://45.76.155[.]202/update/update.exehttp://45.32.144[.]255/update/update.exehttp://95.179.213[.]0/*
検出された感染チェーンは3つあります。
- チェイン #1(2025年7月末/8月初):ProShow.exe の脆弱性と Metasploit ダウンローダーを利用し、Cobalt Strike Beacon ペイロードをドロップしました。
- チェイン #2(2025年9月):Lua ベースの
をドロップし、Beacon コードも含まれていました。script.exe - チェイン #3(2025年10月):
をlog.dll
にサイドロードし、Chrysalis バックドアを展開しました。BluetoothService.exe
更新は一時的な DNS 名 (
temp[.]shself-dns.itsafe-dns.itwhoami && tasklist && systeminfo && netstat -ano
すべての悪意あるインストーラは NSIS パッケージで、SHA‑1 ハッシュには
8e6e5054…90e677d7…57354986…13179c8f…4c9aac44…821c0caf…Cobalt Strike Beacon は
https://45.77.31[.]210/api/FileUpload/submithttps://cdncheck.it[.]com/api/getInfo/v1api.wiresguard.com妥協指標(IOCs) には、上記の悪意ある更新 URL、アップロードエンドポイント (
http://45.76.155[.]202/listhttps://self-dns.it[.]com/listhttps://45.77.31[.]210/users/admin%appdata%\ProShow\load%appdata%\Adobe\Scripts\alien.ini%appdata%\Bluetooth\BluetoothService検出推奨事項:NSIS インストーラの痕跡を検索し、
temp[.]sh2025年11月以降、新しい悪意あるペイロードは観測されていませんが、既存のバックドアは完全に修復されるまで稼働し続ける可能性があります。Notepad++ を利用しているユーザーや組織は、データ外部流出、内部脅威、コンプライアンス違反、および評判損失のリスクに直面しています。このインシデントは、更新の整合性を検証し、NSIS インストーラ活動を監視し、既知の悪意あるインフラに関連する DNS 指標を注視する重要性を再認識させます。
本文
概要
2026年2月2日、Notepad++ の開発者は更新インフラが侵害されたことを発表しました。侵害の原因は 2025 年 6 月から 9 月にかけて発生したホスティングプロバイダーの事故であり、攻撃者は内部サービスへのアクセスを 2025 年 12 月まで維持していました。
実行チェーンとペイロード
| チェーン | 時期 | 更新 URL | 主な動作 |
|---|---|---|---|
| #1 | 2025 年 7 月後半–8 月初旬 | | • NSIS インストーラー(≈ 1 MB)→ GUP.exe • temp.sh アップロードとカスタム User‑Agent を通じてシステム情報送信 • ProShow ファイルをドロップし ProShow.exe(2010 年代の脆弱性あり)を実行 • |
| #2 | 2025 年 9 月中旬–後半 | 同上(ハッシュ 573549869e84544e3ef253bdba79851dcde4963a) | • NSIS インストーラー(≈ 140 KB) • temp.sh 経由でシステム情報送信; • Lua インタープリターと • |
| #3 | 2025 年 10 月初旬 | | • NSIS インストーラー(ハッシュ d7ffd7b588880cf61b603346a3557e7cce648c93) • システム情報送信なし • |
| #2 再開 | 2025 年 10 月中旬–後半 | | • チェーン #2 と同じ URL( |
| 追加更新 URL | 2025 年 10 月 | | • チェーン #2 または #3 のペイロードを使用;新コードは検出されていない |
重要な妥協インジケータ(IoCs)
| カテゴリ | IoC |
|---|---|
| 悪意ある更新 URL | |
| システム情報送信 URL | |
| Metasploit ダウンロードャー URL | |
| Cobalt Strike Beacon C2 URL | |
| Chrysalis / Cobalt Strike(Rapid7)URL | |
| Multiscanner アップロード(Rapid7) | |
| アップデーター実行ファイルハッシュ | |
| 補助ファイルハッシュ | |
| Rapid7 による検出済み悪意ファイル | |
| ファイルパス | |
検出・ハンティングガイドライン
-
NSIS インストーラー –
ディレクトリの生成を監視(ランタイムアーティファクト)。インストーラーの起源を確認し、誤検知を除外。%LOCALAPPDATA%\Temp\ns.tmp -
temp.sh トラフィック –
の DNS 解決をモニタリング。HTTP リクエストで User‑Agent がtemp.sh
を含むか確認。temp.sh/... -
シェルコマンド実行 – ログまたはランタイムアクティビティに以下のコマンドがあるか検査:
whoamitasklistsysteminfonetstat -ano
-
既知 IoC – 上記表を用いて悪意 URL、ハッシュ、ドメインをブロック。
-
Bluetooth サイドロードパターン –
に DLL が落ちているか確認し、正規プロセス(%APPDATA%\Bluetooth\
)で読み込まれていないか監視。BluetoothService.exe
これらのコントロールを「NSIS インストーラー検出」→「ドメイン・ハッシュブロック」の順に適用することで、Notepad++ のサプライチェーン攻撃を効果的に検知し緩和できます。