Notepad++ ยอมรับทราฟฟิคอัปเดตโดน Redirect เกือบครึ่งปี แนะแนวทางผู้ใช้เร่งตรวจสอบ

จากมาตรการในการตรวจสอบอัปเดตของ Notepad++ ที่ไม่รัดกุมพอ ทำแอปพลิเคชันที่มีผู้ใช้อย่างแพร่หลาย โดนลงโทษจากแฮ็กเกอร์มือพระกาฬ ที่สามารถแฮ็กเข้าไปยังผู้ให้บริการ Hosting สำหรับการอัปเดตและเปลี่ยนเส้นทางผู้ใช้ไปยังเครือข่ายอันตรายที่ไม่ปลอดภัย ซึ่งนักพัฒนาได้ออกมายอมรับเรื่องราวและทำการอัปเดตแก้ไขแล้ว

ลำดับเหตุการณ์

จากการสืบสวนเหตุพบว่าการโจมตีเริ่มต้นในเดือนมิถุนายนปี 2025 ที่ผู้ให้บริการ Hosting ของ Notepad++ ถูกแทรกแซง โดยเมื่อต้นเดือนกันยายนคนร้ายได้สูญเสียการเข้าถึงไประยะหนึ่งจากการอัปเดต Kernel และ Firmware ของระบบแต่คนร้ายก็ยังกลับมาได้เนื่องจากมี Credential ของบริการภายในที่ไม่ได้ถูกเปลี่ยน และยังคงอยู่ต่อไปจนกระทั่งถูกตรวจพบวันที่ 2 ธันวาคม 2025

ผลกระทบและการตรวจสอบตนเอง

จากการวิเคราะห์และติดตามของผู้เชี่ยวชาญพบว่าคนร้ายได้ทำการเปลี่ยนทิศทางของการร้องขออัปเดตไปยังระบบอันตราย โดยก็ไม่ได้กระทำกับผู้ใช้ทุกรายแต่จะมีการคัดสรรเหยื่อบางกลุ่มเท่านั้น โดยผู้เชี่ยวชาญรายหนึ่งเผยว่ามีองค์กรอย่างน้อย 3 แห่ง ได้รับผลกระทบครั้งนี้จากการตรวจสอบกิจกรรมภายในเครือข่าย

ปัจจุบันทางนักพัฒนาของ Notepad++ ได้ทำการอัปเดตเวอร์ชัน 8.8.9 ที่ถูกแก้ไขช่องโหว่ใน WinGUP ที่มีมาตรการการป้องที่เข้มงวดกว่าเดิม โดยมีการตรวจสอบ Certificate ของการติดตั้งและมีทำ Digital Signature ให้ XML การอัปเดต นอกจากนี้ยังมีการย้ายบริการ Hosting ไปยังแห่งใหม่ด้วย

การแก้ปัญหาที่แนะนำคือ

• เปลี่ยนรหัสผ่านสำหรับ SSH, FTP/SFTP และ MySQL
• ตรวจสอบบัญชี WordPress โดยเฉพาะบัญชีระดับ แอดมิน พร้อมกับการรีเซ็ตรหัสผ่าน และ ลบผู้ใช้ที่ไม่จำเป็น
• อัปเดตส่วนประกอบต่างๆของ WordPress ทั้ง Core, Plugin, Theme และปรับใช้การอัปเดตอัตโนมัติ

ผู้เชี่ยวชาญหลายฝ่ายเห็นตรงกันว่าแฮ็กเกอร์ที่อยู่เบื้องหลังเหตุในครั้งนี้ น่าจะเป็นกลุ่มจากจีนที่มีชื่อว่า ‘Lotus Blossom’ ซึ่งยังมีนามแฝงอีกหลายชื่ออย่าง Raspberry Typhoon, Bilbug และ Spring Dragon โดยเคยใช้ Backdoor พิเศษที่ชื่อว่า Chrysalis

ที่มา : https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/