Notepad++가 ‘double-lock’ 메커니즘으로 업데이트 보안을 강화

Source: Bleeping Computer

이중 잠금 업데이트 메커니즘

Notepad++는 최근 악용된 보안 결함으로 인한 공급망 침해를 해결하기 위해 업데이트 메커니즘에 “이중 잠금” 설계를 도입했습니다.

새 메커니즘은 어제 발표된 Notepad++ 8.9.2 버전에 적용되었으며, 작업은 8.8.9 버전부터 시작되어 GitHub에서 서명된 설치 프로그램을 검증했습니다.

이중 잠금 시스템의 두 번째 부분은 notepad-plus-plus.org 도메인에서 제공되는 서명된 XML을 확인하는 것입니다. 실제로 이는 업데이트 서비스에서 반환되는 XML 파일이 디지털 서명(XMLDSig)되어 있음을 의미합니다.

두 가지 검증 메커니즘을 결합함으로써, 대규모 오픈소스 텍스트 및 소스코드 편집기를 만든 팀은 보다 견고하고 사실상 악용이 불가능한 업데이트 프로세스를 구현했다고 설명합니다.

자동 업데이트에 적용된 추가 보안 중심 변경 사항

• DLL 사이드로드 위험을 없애기 위해 libcurl.dll 제거
• 두 개의 보안이 취약한 cURL SSL 옵션 CURLSSLOPT_ALLOW_BEAST 및 CURLSSLOPT_NO_REVOKE 제거
• 플러그인 관리 실행을 WinGUp과 동일한 인증서로 서명된 프로그램으로 제한

새 발표에서는 사용자가 UI 설치 중 자동 업데이트를 제외하거나 다음과 같이 MSI 패키지를 배포할 수 있다고도 언급했습니다:

msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1

출처: Notepad++

최근 공급망 침해 배경

이번 달 초, Notepad++와 Rapid7 연구원들은 6개월에 걸친 캠페인에서 업데이트 인프라가 Lotus Blossom이라는 중국과 연계된 위협 그룹에 의해 침해되었다고 공개했습니다.

• 2025년 6월부터 악성 행위자는 Notepad++ 업데이트를 운영하던 호스팅 제공자를 장악하고 특정 사용자에 대해 업데이트 요청을 악성 서버로 선택적으로 리디렉션했습니다.
• 공격은 이전 버전에서 사용되던 약한 업데이트 검증 제어를 악용했으며, 2025년 12월 2일에 발견될 때까지 지속되었습니다.
• Rapid7 분석에 따르면, 중국 해커들은 공격 체인의 일환으로 **“Chrysalis”**라는 맞춤형 백도어를 사용했습니다.

새롭게 도입된 보안 조치 외에도 프로젝트는 즉시 다른 호스팅 제공자로 전환하고, 자격 증명을 교체했으며, 발견된 공격에서 악용된 결함을 수정했습니다.

권장 조치

모든 Notepad++ 설치를 8.9.2 버전으로 업그레이드하고, 설치 프로그램은 공식 도메인 notepad-plus-plus.org에서 항상 다운로드하도록 하세요.