Notepad++ 탈취된 업데이트 메커니즘을 수정, 표적 악성코드 전달에 사용

Source: The Hacker News

개요

Notepad++는 중국의 고도화된 위협 행위자가 악용한 취약점을 해결하는 보안 패치를 발표했습니다. 공격자는 소프트웨어의 업데이트 메커니즘을 가로채어 특정 사용자에게 표적형 악성코드를 전달했습니다.

이번 패치는 버전 8.9.2에 포함되어 있으며, 업데이트 과정을 견고하고 실질적으로 악용할 수 없게 만드는 “이중 잠금” 설계를 도입했습니다. 이 설계는 GitHub에서 다운로드된 서명된 설치 프로그램(버전 8.8.9 이상에서 구현)과 notepad-plus-plus.org 업데이트 서버에서 반환되는 서명된 XML 두 가지를 모두 검증합니다.

업데이트 세부 사항

• 검증 개선
  • 서명된 설치 프로그램 검증(버전 8.8.9부터)
  • 업데이트 서버에서 반환되는 서명된 XML 새로운 검증
• WinGUp(자동 업데이트) 강화
  • DLL 사이드로드 위험을 없애기 위해 libcurl.dll 제거
  • 두 개의 취약한 cURL SSL 옵션 CURLSSLOPT_ALLOW_BEAST와 CURLSSLOPT_NO_REVOKE 제거
  • 플러그인 관리 실행을 WinGUp과 동일한 인증서로 서명된 프로그램에만 제한

취약점 세부 사항

이번 업데이트는 고위험 취약점도 패치합니다:

• CVE‑2026‑25926 – CVSS 7.3
  절대 경로가 없는 실행 파일을 사용해 Windows Explorer를 실행할 때 발생하는 안전하지 않은 검색 경로 취약점(CWE‑426)입니다. 프로세스 작업 디렉터리를 제어할 수 있는 공격자는 악성 explorer.exe를 실행시켜, 실행 중인 애플리케이션 컨텍스트에서 임의 코드 실행을 유발할 수 있습니다.
  출처: GitHub advisory

공급망 사고 배경

• 타임라인:

  • 2025년 6월 – 위협 행위자가 Notepad++ 업데이트 트래픽을 가로채기 시작.
  • 2025년 12월 초 – 침해가 탐지됨.

• 영향:
  공격자는 특정 사용자를 대상으로 업데이트 요청을 악성 서버로 리다이렉트하여, 문서화되지 않은 백도어 Chrysalis가 포함된 변조된 업데이트를 배포했습니다.

• 귀속:
  이 공급망 공격은 CVE‑2025‑15556(CVSS 7.7)으로 추적되며, 중국 기반 해킹 그룹 Lotus Panda와 연관됩니다.
  참조:

  • Rapid7 및 Kaspersky 분석
  • The Hacker News – Chrysalis 백도어
  • CVE‑2025‑15556 상세 정보

권장 사항

• Notepad++ 8.9.2 버전으로 즉시 업데이트하십시오.
• 설치 프로그램이 공식 Notepad++ 도메인(notepad-plus-plus.org)에서 다운로드되는지 확인하십시오.

---

태그: Application Security, cybersecurity, Malware, software security, supply chain attack, Vulnerability