اختراق تحديث Notepad++: ما الذي يعلمنا إياه الاختراق الذي استمر ستة أشهر حول الثقة في المُحدِّث؟

أفاد برنامج Notepad++ بتعرض حركة تحديثاته للاختراق لعدة أشهر في عام 2025، حيث اعترض المهاجمون حركة مرور بعض المستخدمين وأعادوا توجيههم بشكل انتقائي إلى بنية تحتية خبيثة. وذكر موقع BleepingComputer أن الاختراق بدأ في يونيو 2025 وانتهى في 2 ديسمبر، بعد أن اكتشف مزود خدمة الاستضافة الاختراق وقام بقطع الوصول.

تُعدّ هذه الحادثة تذكيراً مهماً بأنّ "التنزيل عبر بروتوكول HTTPS" ليس ضماناً أمنياً كاملاً. فأنظمة التحديث تحتاج إلى تحقق قوي وشامل، لأنّ البنية التحتية التي تثق بها قد تكون هي التي تتعرض للاختراق.

ما استغله المهاجمون

يصف موقع BleepingComputer ثغرة في ضوابط التحقق من التحديثات في الإصدارات القديمة من برنامج Notepad++، مما يسمح للمهاجمين بتقديم بيانات تحديث معدلة وإعادة توجيه التنزيلات.

وبحسب ما ورد، كانت الحملة ضيقة وانتقائية، وهو ما يتوافق مع جهة فاعلة تهتم بالوصول إلى أهداف محددة أكثر من اهتمامها بالتوزيع الجماهيري.

الجدول الزمني مهم:

• تسوية أولية في يونيو 2025
• انقطاع مؤقت في أوائل سبتمبر بعد تحديثات النواة/البرامج الثابتة
• استمرار الوصول عبر بيانات اعتماد داخلية مسروقة حتى 2 ديسمبر

إن خطوة "نجاة بيانات الاعتماد من المعالجة" هي فشل كلاسيكي في الاستجابة للحوادث: فتصحيح الخادم ليس كافياً إذا كان المهاجم يمتلك المفاتيح بالفعل.

ما الذي تغير في برنامج Notepad++ بعد الحادثة؟

أفاد موقع BleepingComputer أن برنامج Notepad++ قام بنقل العملاء إلى مزود استضافة جديد، وتغيير بيانات الاعتماد، وتحسين عملية التحقق.

ابتداءً من الإصدار 8.8.9، WinGUP:

• يتحقق من شهادات وتوقيعات المُثبِّت
• يستخدم ملف XML للتحديثات الموقعة تشفيرياً

يخطط المشروع أيضًا لفرض التحقق الإلزامي من توقيع الشهادة في الإصدار 8.9.2.

هذا التدرج - عمليات فحص اختيارية ← عمليات فحص أقوى ← عمليات فحص إلزامية - هو بالضبط كيف يجب أن يصبح توزيع البرامج أكثر أمانًا بمرور الوقت.

زاوية البرمجيات الخبيثة: كريسليس ونسبة التبعية

يشير موقع BleepingComputer إلى بحث Rapid7 الذي ينسب حملة ذات صلة إلى مجموعة APT صينية تُعرف باسم Lotus Blossom (وُصفت أيضًا بأسماء مستعارة أخرى) وباب خلفي مخصص من Rapid7 يُدعى "Chrysalis".

في حوادث استهداف سلاسل التوريد، غالبًا ما تكون الحمولة مصممة خصيصًا. ولهذا السبب، فإن الدفاع الأساسي لا يكمن في "اكتشاف هذا البرنامج الخبيث تحديدًا"، بل في "صعوبة إيصال أي حمولة غير مصرح بها عبر أداة التحديث".

ما الذي ينبغي على المنظمات فعله بشكل مختلف؟

إذا كنت تدير برامج في بيئة مؤسسية، فإن هذا الحادث يشير إلى بعض الإجراءات الدفاعية الافتراضية:

1. تجنب برامج التحديث التلقائي للمستهلكينعلى الأنظمة الحيوية حيثما أمكن ذلك.
2. استخدم توزيع البرامج المُدارة(الحزم الموقعة في المستودعات الداخلية، Intune/SCCM، إلخ).
3. قم بتثبيت التوقيعات والتحقق منهاللمثبتات والتحديثات.
4. مراقبة "مسارات التحديث"باعتبارها بنية تحتية حيوية: نظام أسماء النطاقات (DNS)، وسياسات فحص بروتوكول أمان طبقة النقل (TLS)، وسلوك الوكيل، وسلاسل تنفيذ نقاط النهاية.

أما إذا كنت مستخدمًا فرديًا، فإن الخطوات العملية أبسط:

• قم بالتحديث إلى أحدث إصدار من برنامج Notepad++ من الموقع الرسمي
• كن حذرًا من مطالبات التحديث التي لا تشبه برنامج التثبيت العادي.
• تجنب إعلانات "التحميل الآن" في نتائج البحث التي تحاكي الصفحات الرسمية

خلاصة القول

لم يكن اختراق تحديثات Notepad++ التي استمرت ستة أشهر ناتجًا عن خلل برمجي واحد، بل كان يتعلق بحدود الثقة. فإذا تمكن المهاجم من تعديل ملف البيان أو كانت عمليات التحقق من التوقيع ضعيفة، فإن "التحديثات" تتحول بطبيعتها إلى تنفيذ تعليمات برمجية عن بُعد. والحل يكمن في التحقق الشامل الذي لا يمكن تجاوزه، حتى في حال اختراق مزود الاستضافة.

---

مصادر

• https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
• https://notepad-plus-plus.org/news/hijacked-incident-info-update/
• https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/