(Nguồn ảnh: Shutterstock)
Notepad++ đã xác nhận mình là nạn nhân của một cuộc tấn công mạng tinh vi và có chủ đích cao, rất có thể do một nhóm tin tặc được nhà nước Trung Quốc bảo trợ thực hiện.
Trong một thông báo bảo mật được đăng tải trên trang web của dự án, công ty giải thích rằng tin tặc đã xâm nhập được vào máy chủ của nhà cung cấp dịch vụ lưu trữ dùng chung và sử dụng nó để phát tán các bản cập nhật độc hại đến một số nạn nhân được lựa chọn kỹ lưỡng.
Thông báo cho biết: “Chúng tôi đã phát hiện các sự kiện đáng ngờ trong nhật ký của mình, cho thấy máy chủ có thể đã bị xâm nhập. Dựa trên nhật ký của chúng tôi, chúng tôi không thấy bất kỳ khách hàng nào khác được lưu trữ trên máy chủ cụ thể này bị nhắm mục tiêu. Kẻ xấu đã tìm kiếm cụ thể tên miền [Notepad++] với mục đích chặn lưu lượng truy cập vào trang web của bạn, vì chúng có thể biết các lỗ hổng bảo mật hiện có của Notepad++ liên quan đến việc kiểm soát xác minh cập nhật không đầy đủ.”
Cuộc tấn công tinh vi, nhắm mục tiêu cao độ
Nhà phát triển dự án giải thích rằng một cuộc điều tra bên ngoài cũng xác định rằng vụ xâm nhập xảy ra vào tháng 6 năm 2025, và những kẻ tấn công vẫn giữ quyền truy cập cho đến tháng 9 năm 2025, khi một bản vá lỗi đã loại bỏ chúng.
Tuy nhiên, vì chúng vẫn giữ được thông tin đăng nhập, nên chúng được phép tiếp tục các cuộc tấn công cho đến đầu tháng 12 năm 2025, khi việc thay đổi mật khẩu cuối cùng đã ngăn chặn được sự xâm nhập.
Các cuộc tấn công không hề liên quan đến mã nguồn của Notepad++. Thay vào đó, chúng sử dụng quyền truy cập máy chủ để phát tán các bản vá lỗi đến các mục tiêu được lựa chọn cẩn thận. Theo các nhà điều tra, những kẻ tấn công, rất có thể được nhà nước Trung Quốc tài trợ, đã thực hiện việc nhắm mục tiêu "có tính chọn lọc cao".
Thông báo cho biết: “Những kẻ tấn công đã nhắm mục tiêu cụ thể vào tên miền Notepad++ với mục đích khai thác các lỗ hổng kiểm soát xác minh cập nhật không đầy đủ tồn tại trong các phiên bản Notepad++ cũ hơn. Nhà cung cấp đã hoàn tất mọi biện pháp khắc phục và tăng cường bảo mật vào ngày 2 tháng 12 năm 2025, ngăn chặn thành công các hoạt động tấn công tiếp theo.”
Hiện chưa rõ nhóm nào đứng sau vụ tấn công này, cũng như đối tượng mà chúng nhắm đến. Tuy nhiên, Notepad++ đã chuyển sang nhà cung cấp dịch vụ lưu trữ mới và trình cập nhật cũng đã được cập nhật lên phiên bản 8.8.9 để xác minh cả chứng chỉ và chữ ký của trình cài đặt tải xuống. Hơn nữa, tệp XML do máy chủ cập nhật trả về hiện cũng đã được ký điện tử, và việc xác minh chứng chỉ và chữ ký sẽ được thực thi bắt đầu từ phiên bản 8.9.2 sắp tới, dự kiến trong khoảng một tháng nữa.
