บริษัทผู้พัฒนา Notepad++ ระบุในแถลงการณ์อย่างเป็นทางการในวันนี้ว่า กลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐบาลจีน น่าจะเป็นผู้ที่อยู่เบื้องหลังการ hijacking การอัปเดต Notepad++ เมื่อปีที่แล้ว ซึ่งกินเวลานานกว่า 6 เดือน

ผู้โจมตีใช้ช่องโหว่ด้านความปลอดภัยในกระบวนการตรวจสอบความถูกต้องของระบบอัปเดตของ Notepad++ ในการดักจับ และเปลี่ยนเส้นทาง update requests ของผู้ใช้บางส่วนไปยังเซิร์ฟเวอร์ที่เป็นอันตราย จากนั้นจึงส่งไฟล์ manifest การอัปเดตที่ถูกดัดแปลงกลับไป

ผู้ให้บริการโฮสติ้งซึ่งดูแลระบบอัปเดตออกแถลงการณ์ว่า จากการตรวจสอบ logs พบหลักฐานว่าผู้โจมตีสามารถเข้าถึงเซิร์ฟเวอร์ที่ใช้สำหรับแอปพลิเคชันอัปเดตของ Notepad++ ได้

ผู้เชี่ยวชาญด้านความปลอดภัยภายนอกที่ร่วมการสืบสวนพบว่า การโจมตีเริ่มต้นมาตั้งแต่เดือนมิถุนายน 2025 โดยผู้พัฒนาอธิบายเพิ่มเติมว่า เหตุการณ์ดังกล่าวมีขอบเขตค่อนข้างแคบ และมีการเปลี่ยนเส้นทางไปยังโครงสร้างพื้นฐานของผู้โจมตีเฉพาะผู้ใช้บางกลุ่มเท่านั้น

แถลงการณ์ของ Notepad++ ระบุว่า ผู้โจมตีที่อยู่เบื้องหลังการโจมตีนี้ มีแนวโน้มเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐบาลจีน ซึ่งสอดคล้องกับพฤติกรรมการเลือกเป้าหมายอย่างเฉพาะเจาะจงที่ตรวจพบตลอดช่วงปฏิบัติการ ผู้โจมตีมุ่งเป้าไปที่โดเมนของ Notepad++ โดยใช้ประโยชน์จากช่องโหว่ในกระบวนการตรวจสอบความถูกต้องของการอัปเดตที่ไม่รัดกุมเพียงพอใน Notepad++ เวอร์ชันก่อนหน้า ตามการประเมินของนักวิจัยด้านความมั่นคงปลอดภัยอิสระหลายฝ่าย

ในเดือนธันวาคม Notepad++ ได้ออกเวอร์ชัน 8.8.9 เพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในเครื่องมืออัปเดต WinGUp หลังจากนักวิจัยหลายรายรายงานว่า ตัวอัปเดตอาจได้รับแพ็กเกจอันตรายแทนแพ็กเกจที่ถูกต้องตามปกติ

Kevin Beaumont นักวิจัยด้านความปลอดภัย เคยออกมาเตือนว่า เขาทราบว่ามีอย่างน้อยสามองค์กรที่ได้รับผลกระทบจากเหตุการณ์เข้าควบคุมกระบวนการอัปเดตลักษณะนี้ ซึ่งต่อมาพบการ reconnaissance ภายในเครือข่ายโดยตรง

Notepad++ เป็นโปรแกรมแก้ไขข้อความ และซอร์สโค้ดแบบโอเพนซอร์สที่ใช้งานได้ฟรี และได้รับความนิยมอย่างสูงในระบบปฏิบัติการ Windows โดยมีผู้ใช้หลายสิบล้านคนทั่วโลก

ผู้พัฒนาได้ชี้แจงว่า การโจมตีดังกล่าวเกิดขึ้นในเดือนมิถุนายน 2025 เมื่อผู้ให้บริการโฮสติ้งที่ดูแลซอฟต์แวร์ถูกโจมตี ทำให้ผู้โจมตีสามารถเปลี่ยนเส้นทางการรับส่งข้อมูลแบบกำหนดเป้าหมายได้

ในช่วงต้นเดือนกันยายน ผู้โจมตีสูญเสียการเข้าถึงระบบชั่วคราว หลังจากมีการอัปเดตเคอร์เนลของเซิร์ฟเวอร์ และเฟิร์มแวร์ อย่างไรก็ตาม กลุ่มผู้โจมตีสามารถกลับมายึดระบบได้อีกครั้ง โดยอาศัยข้อมูล credentials ของบริการภายในที่ได้มาก่อนหน้านี้ และยังไม่ได้ถูกเปลี่ยนแปลง

สถานการณ์ดังกล่าวดำเนินต่อเนื่องไปจนถึงวันที่ 2 ธันวาคม 2025 ซึ่งเป็นเวลาที่ผู้ให้บริการตรวจพบการโจมตีในที่สุด และยุติการเข้าถึงของผู้โจมตีลง

หลังเกิดเหตุ Notepad++ ได้ย้ายผู้ใช้งานทั้งหมดไปยังผู้ให้บริการโฮสติ้งรายใหม่ที่มีความปลอดภัยรัดกุมยิ่งขึ้น พร้อมทั้งเปลี่ยนข้อมูล credentials ทุกชุดที่มีความเป็นไปได้ว่าจะรั่วไหล แก้ไขช่องโหว่ที่ถูกใช้ในการโจมตี และตรวจสอบ Logs อย่างละเอียด เพื่อยืนยันว่ากิจกรรมที่เป็นอันตรายได้ยุติลงแล้ว

เพื่อให้มั่นใจในความมั่นคงปลอดภัย ผู้ใช้งาน Notepad++ ควรปฏิบัติตามขั้นตอนดังต่อไปนี้:

เปลี่ยนข้อมูล credentials สำหรับ SSH, FTP/SFTP และ MySQL
ตรวจสอบบัญชีผู้ดูแลระบบ WordPress รีเซ็ตรหัสผ่าน และลบผู้ใช้ที่ไม่จำเป็น
อัปเดต WordPress core ปลั๊กอิน และธีม พร้อมเปิดใช้การอัปเดตอัตโนมัติหากทำได้

ตั้งแต่ Notepad++ เวอร์ชัน 8.8.9 เป็นต้นไป WinGUp จะทำการตรวจสอบ certificates และ signatures ของตัวติดตั้ง และไฟล์ XML สำหรับการอัปเดตที่ได้รับ cryptographically signed เพื่อยืนยันความถูกต้องแล้ว

นักพัฒนาได้ให้ข้อมูลเพิ่มเติมว่า มีแผนที่จะเริ่มการตรวจ certificate signature แบบบังคับใช้ในเวอร์ชัน 8.9.2 ซึ่งคาดว่าจะพร้อมใช้งานในอีกประมาณหนึ่งเดือนข้างหน้า

BleepingComputer ได้ติดต่อ Don Ho ผู้พัฒนาหลักของ Notepad++ เพื่อขอข้อมูล Indicators of Compromise (IoCs) หรือรายละเอียดอื่น ๆ ที่จะช่วยให้ผู้ใช้ตรวจสอบว่าตนได้รับผลกระทบหรือไม่

อย่างไรก็ตาม Don Ho รายงานว่า ในระหว่างการตรวจสอบ Logs ทีม Incident Response (IR) ตรวจพบร่องรอยการบุกรุก แต่ไม่พบ IoCs นอกจากนี้ เขายังกล่าวเสริมว่า ทั้งทีม IR และตัวเขาเองได้พยายามร้องขอข้อมูล IoCs โดยตรงจากผู้ให้บริการโฮสติ้งรายเดิม แต่ไม่สามารถขอรับข้อมูลดังกล่าวได้

กลุ่ม APT จากจีนที่รู้จักในชื่อ Lotus Blossom (หรือที่เรียกอีกชื่อว่า Raspberry Typhoon, Bilbug และ Spring Dragon) ถูกเปิดโปงโดยนักวิจัยจาก Rapid7 ว่าเป็นผู้อยู่เบื้องหลังการโจมตีดังกล่าว โดยได้ใช้แบ็กดอร์ที่ปรับแต่งเฉพาะ และไม่เคยมีการบันทึกมาก่อน ซึ่งนักวิจัยตั้งชื่อให้ว่า Chrysalis

เนื่องจากมีคุณสมบัติจำนวนมากที่ถูกค้นพบ นักวิจัยจึงเชื่อว่า Chrysalis เป็นเครื่องมือที่มีความซับซ้อน ซึ่งถูกออกแบบมาเพื่อทำหน้าที่อย่างถาวรในระบบของเหยื่อ

นักวิจัยได้เผยแพร่บทวิเคราะห์ทางเทคนิคโดยละเอียดเกี่ยวกับมัลแวร์นี้ อย่างไรก็ตาม พวกเขาระบุว่าไม่มีหลักฐานที่ชัดเจนเพียงพอที่จะยืนยันว่าการโจมตีในครั้งนี้มีการใช้ประโยชน์จากกลไกการอัปเดตที่เกี่ยวข้อง

Rapid7 ระบุว่า "พฤติกรรมเดียวที่ได้รับการยืนยันคือกระบวนการ 'notepad++.exe' ตามด้วย 'GUP.exe' ทำงานก่อนที่จะมีการรันกระบวนการที่น่าสงสัยชื่อ 'update.

Notepad++ เวอร์ชัน 8.8.9 ถูกอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัยในเครื่องมืออัปเดตที่ชื่อ WinGUp หลังจากที่มีนักวิจัย และผู้ใช้งานรายงานเหตุการณ์ที่ตัวอัปเดตทำการดาวน์โหลดไฟล์ Executable ที่เป็นอันตรายมา แทนที่จะเป็นแพ็กเกจอัปเดตที่ถูกต้อง

(more…)

นักวิจัยพบแคมเปญโฆษณามัลแวร์ใน Google Search ที่มุ่งเป้าไปที่ผู้ใช้งานที่ต้องการดาวน์โหลดโปรแกรมแก้ไขข้อความ Notepad++ ที่เป็นที่นิยม โดยใช้เทคนิคเพื่อหลีกเลี่ยงการตรวจจับ และการวิเคราะห์

โดยพบว่าช่วงที่ผ่านมาผู้โจมตีใช้ Google Ads ในทางที่ผิดมากขึ้นเรื่อย ๆ ในการโฆษณาเพื่อโปรโมทเว็บไซต์ของซอฟต์แวร์ปลอมที่ใช้ในการแพร่กระจายมัลแวร์

จากข้อมูลของ Malwarebytes ซึ่งตรวจพบแคมเปญโฆษณามัลแวร์ Notepad++ พบว่ามีการใช้งานมาแล้วหลายเดือน แต่ก็ยังสามารถเข้าถึงได้อยู่ตลอดเวลา

payload ที่จะถูกส่งไปยังเหยื่อยังไม่แน่ชัด แต่ Malwarebytes ระบุว่ามีแนวโน้มมากที่สุดคือ Cobalt Strike ซึ่งมักจะนำไปสู่การติดตั้ง ransomware ที่สร้างความเสียหายอย่างมาก (more…)

Lazarus เป็นกลุ่ม Hacker จากเกาหลีเหนือที่ได้รับการสนับสนุนจากรัฐบาล โดยมีแรงจูงใจทางการเงินเป็นหลัก และมีส่วนร่วมในปฏิบัติการจารกรรมหลายครั้ง

ล่าสุดพบว่ามีกลยุทธ์ในการกำหนดเป้าหมายไปยังเซิร์ฟเวอร์ Windows Internet Information Services (IIS) ที่มีช่องโหว่เพื่อเข้าถึงระบบเครือข่ายขององค์กร ซึ่งถูกค้นพบโดยนักวิจัยชาวเกาหลีใต้จาก AhnLab Security Emergency Response Center (ASEC) (more…)

sekoia.io บริษัทรักษาความปลอดภัยทางไซเบอร์ของฝรั่งเศส พบแคมเปญการแพร่กระจายมัลแวร์ Raccoon และ Vidar Stealers จำนวนมาก โดยการสร้างเว็ปไซต์ปลอมเพื่อแจกจ่ายซอฟต์แวร์เถื่อนที่ถูกฝังมัลแวร์ที่เป็นอันตรายเอาไว้

ขั้นตอนการโจมตี

sekoia.

โทรจัน AnarchyGrabber3 รุ่นใหม่ปรับความสามารถในการขโมยบัญชี Discord

MalwareHunterteam ได้เผยถึงการค้นพบโทรจัน AnarchyGrabber3 เวอร์ชันใหม่ที่ได้รับการปรับปรุงให้มีความสามารถขโมยรหัสผ่านและโทเค็นของผู้ใช้รวมไปถึงทำการปิดการใช้งาน 2FA และสามารถกระจายมัลแวร์ไปยังเพื่อนของผู้ที่ตกเหยื่อ โดยการเเพร่กระจายโทรจัน AnarchyGrabber3 ใน Discord นั้นทำโดยการเเสร้งว่าเป็นซอฟต์แวร์เครื่องมือโกงเกม, บอทเกมหรือซอฟต์แวร์ที่มีลิขสิทธิ์

เมื่อติดตั้งซอฟต์แวร์แล้ว AnarchyGrabber3 ที่ถูกเเฝงมาจะทำการแก้ไขไฟล์ %AppData%\Discord\<version>\modules\discord_desktop_core\index.