개요
- 2025년 6월부터 12월 2일까지, Notepad++ 업데이트 트래픽 일부가 공격자 인프라로 리다이렉트되는 하이재킹 공격이 발생.
- 침해 지점은 Notepad++ 코드가 아니라 이전 공유 호스팅 업체 인프라였고, 특정 타깃 사용자에게만 악성 업데이트가 선택적으로 전달됨.
공격 상세 및 배후
- 호스팅 서버는 2025-09-02까지 침해 상태였고, 이후에도 12-02까지는 탈취된 내부 서비스 자격증명으로 트래픽 일부를 우회시킬 수 있었던 것으로 평가됨.
- 여러 독립 보안 연구자(independent security researchers)들은, 매우 제한적인 타깃팅과 인프라 레벨 공격 양상을 근거로 중국 국가 지원 해킹 그룹일 가능성이 높다고 보고 있음.
Notepad++ 측 대응
- 사이트 전체를 보안 수준이 더 높은 새 호스팅 제공업체로 이전.
- WinGup(업데이터)을 v8.8.9에서 강화해, 설치 파일의 인증서·서명 검증 및 서명된 XML 업데이트 응답을 도입했고, v8.9.2부터는 이 검증을 필수로 강제할 예정.
사용자 권장 사항
- 프로젝트 측은 이번 하이재킹으로 인한 영향에 대해 사과하며, 보안 개선이 포함된 v8.9.1 설치 프로그램을 직접 다운로드해 수동으로 업데이트