Notepad++ ได้นำการออกแบบระบบ 'Double-lock' มาใช้กับการอัปเดตซอฟต์แวร์ เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยที่เคยถูกโจมตีแบบ Supply-chain Compromise ในช่วงที่ผ่านมา
ระบบใหม่นี้ถูกนำมาใช้งานอย่างเต็มรูปแบบใน Notepad++ เวอร์ชัน 8.9.2 ซึ่งมีการประกาศเปิดตัวเมื่อวานนี้ โดยกระบวนการพัฒนาดังกล่าวได้เริ่มดำเนินการมาตั้งแต่เวอร์ชัน 8.8.9 ด้วยการวางระบบตรวจสอบความถูกต้องของโปรแกรมติดตั้งที่มีการ Signed Installer จาก GitHub
สำหรับองค์ประกอบส่วนที่สองของระบบ double-lock คือการตรวจสอบไฟล์ XML ที่มีการ signed กำกับจากโดเมนหลัก notepad-plus-plus.org ซึ่งในทางปฏิบัติหมายความว่า ไฟล์ XML ทุกไฟล์ที่ส่งมาจากบริการอัปเดตจะต้องผ่านกระบวนการ digitally signed (XMLDSig) เพื่อยืนยันความถูกต้อง และป้องกันการปลอมแปลงข้อมูลจากแหล่งอื่น
ทีมพัฒนาผู้อยู่เบื้องหลัง Notepad++ ระบุว่า การผสานระบบตรวจสอบทั้งสองส่วนนี้ ช่วยให้กระบวนการอัปเดตมีความแข็งแกร่ง และยากต่อการถูกโจมตี
นอกจากนี้ ยังมีการปรับปรุงด้านความปลอดภัยส่วนอื่น ๆ ในระบบอัปเดตอัตโนมัติ ดังนี้:
- การถอดไฟล์ libcurl.dll ออก เพื่อจำกัดความเสี่ยงจากการโจมตีรูปแบบ DLL side-loading
- ปิดฟังก์ชั่นการใช้งาน cURL SSL ที่ไม่ปลอดภัย เช่น CURLSSLOPT_ALLOW_BEAST และ CURLSSLOPT_NO_REVOKE เพื่อยกระดับการเชื่อมต่อให้ปลอดภัยยิ่งขึ้น
- การจำกัดสิทธิ์ระบบจัดการปลั๊กอิน โดยจะอนุญาตให้รันได้เฉพาะโปรแกรมที่ Signed ด้วย Certificate ชุดเดียวกับ WinGUp เท่านั้น
ในประกาศดังกล่าวยังระบุเพิ่มเติมว่า ผู้ใช้สามารถเลือกที่จะไม่ติดตั้งระบบอัปเดตอัตโนมัติได้ในระหว่างขั้นตอนการติดตั้งผ่านหน้าจอ UI หรือสามารถเลือกติดตั้งผ่านแพ็กเกจ MSI โดยใช้คำสั่ง: msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1
เมื่อช่วงต้นเดือนที่ผ่านมา ทีมพัฒนา Notepad++ ร่วมกับนักวิจัยจาก Rapid7 ได้เปิดเผยข้อมูลว่า โครงสร้างพื้นฐานของระบบอัปเดต ได้ถูกเจาะระบบในแคมเปญโจมตีที่นานกว่า 6 เดือน โดยระบุว่าเป็นฝีมือของกลุ่ม Lotus Blossom ซึ่งเป็นกลุ่มผู้โจมตีที่มีความเชื่อมโยงกับประเทศจีน
นับตั้งแต่เดือนมิถุนายน 2025 ผู้โจมตีได้ทำการเจาะระบบของผู้ให้บริการโฮสติ้งที่รันระบบอัปเดตของ Notepad++ และทำการเลือกสุ่มเพื่อเบี่ยงเส้นทางคำขออัปเดต จากผู้ใช้บางรายไปยังเซิร์ฟเวอร์อันตราย
การโจมตีในครั้งนี้ แฮ็กเกอร์อาศัยช่องโหว่ของระบบตรวจสอบการอัปเดตที่ยังหละหลวมในซอฟต์แวร์เวอร์ชันเก่า ซึ่งเหตุการณ์นี้เกิดขึ้นต่อเนื่องจนกระทั่งถูกตรวจพบเมื่อวันที่ 2 ธันวาคม 2025
จากการวิเคราะห์ของ Rapid7 เผยให้เห็นว่า กลุ่มแฮ็กเกอร์ชาวจีนได้ใช้มัลแวร์ประเภท Backdoor ที่ถูกปรับแต่งขึ้นมาโดยเฉพาะในชื่อ “Chrysalis” เป็นส่วนหนึ่งของกระบวนการโจมตี
นอกเหนือจากมาตรการความปลอดภัยที่เพิ่งนำมาใช้แล้ว ทางโปรเจกต์ยังได้ดำเนินการเปลี่ยนผู้ให้บริการโฮสติ้งรายใหม่ทันที, ทำการเปลี่ยนข้อมูล credentials และแก้ไขจุดบกพร่องที่ถูกใช้โจมตีในครั้งนี้เป็นที่เรียบร้อยแล้ว
ข้อแนะนำสำหรับผู้ใช้ Notepad++ ทุกท่านคือให้ดำเนินการอัปเกรดเป็นเวอร์ชัน 8.9.2 และต้องตรวจสอบให้แน่ใจเสมอว่าได้ดาวน์โหลดโปรแกรมติดตั้งจากโดเมนทางการ notepad-plus-plus.org เท่านั้น
ที่มา : bleepingcomputer
You must be logged in to post a comment.