Sự việc ban đầu được phát hiện trong cộng đồng người dùng Notepad++ vào cuối tháng 10 và sau đó được xác nhận là một điểm yếu mang tính cấu trúc trong trình cập nhật. Theo phân tích của trang an ninh mạng BleepingComputer, kẻ tấn công đã lợi dụng cơ chế cập nhật này để chạy mã độc trên máy người dùng. Trước diễn biến trên, Notepad++ đã phát hành bản vá trong phiên bản 8.8.9 nhằm khắc phục triệt để lỗ hổng.

Những dấu hiệu bất thường đầu tiên xuất hiện trên diễn đàn chính thức của Notepad++, khi một người dùng phản ánh rằng trong quá trình cập nhật tự động, một tệp thực thi lạ có tên %Temp%AutoUpdater.exe được kích hoạt từ tiến trình Notepad++ và công cụ cập nhật gup.exe (WinGUp). Tệp này sử dụng các lệnh Windows tiêu chuẩn để thu thập thông tin hệ thống và lưu kết quả vào tệp a.txt.

Quá trình điều tra tiếp theo cho thấy tệp a.txt đã bị tải lên temp.sh, một dịch vụ lưu trữ tệp công khai, thông qua công cụ curl.exe. Đây là hành vi hoàn toàn bất thường, bởi Notepad++ không sử dụng curl độc lập và cũng không có chức năng thu thập thông tin hệ thống. Các nhà phát triển và quản trị viên diễn đàn khẳng định đây không phải là tính năng hợp lệ của phần mềm.

Đáng chú ý, các tệp nhị phân của Notepad++ trên các hệ thống bị ảnh hưởng đều trùng khớp với bản phát hành chính thức. Điều này cho thấy phần mềm không bị thay thế, mà chính quy trình cập nhật đã bị lợi dụng để chèn và thực thi mã độc. Ban đầu, giới chuyên gia chưa thể xác định đây là sự xâm nhập cục bộ hay là hành vi thao túng luồng cập nhật.

Đến đầu tháng 12, BleepingComputer làm rõ nguyên nhân: WinGUp - trình cập nhật của Notepad++ - không thực hiện xác minh chữ ký số đối với tệp cài đặt tải về trong các phiên bản từ trước đến 8.8.8. Dù có kiểm tra phiên bản mới, công cụ này không xác thực xem tệp cài đặt có được ký bằng chứng thư số chính thức hay không. Điều đó cho phép kẻ tấn công, nếu chặn hoặc chuyển hướng luồng cập nhật, có thể đưa vào và chạy một tệp độc hại.

Các nhà nghiên cứu cho biết đã ghi nhận nhiều tổ chức bị tấn công, trong đó tiến trình Notepad++ là điểm xâm nhập ban đầu. Sau khi vào được hệ thống, tin tặc tiếp tục dò quét và mở rộng tấn công, cho thấy đây là các chiến dịch có chủ đích. Điểm chung của các tổ chức bị ảnh hưởng là có lợi ích hoặc hoạt động liên quan tới khu vực Đông Á.

Trước tình hình này, Notepad++ đã có những động thái khắc phục. Từ tháng 11, phiên bản 8.8.8 giới hạn nguồn cập nhật chỉ từ GitHub. Đến phiên bản 8.8.9, phát hành ngày 9/12, cả Notepad++ và WinGUp đều kiểm tra chữ ký số và chứng chỉ của tệp cài đặt; nếu xác minh không hợp lệ, quá trình cập nhật sẽ bị hủy.

Theo nhóm phát triển, việc điều tra phương thức tấn công cụ thể vẫn đang tiếp tục. Tuy nhiên, người dùng được khuyến cáo khẩn trương nâng cấp lên Notepad++ phiên bản 8.8.9 để tránh nguy cơ bị khai thác thông qua lỗ hổng cập nhật.

An Lâm