Uzun bir geçmişe sahip Çin bağlantılı bir siber casusluk grubu, popüler kod düzenleme platformu Notepad++’ın güncelleme sürecini ele geçirerek hedef kullanıcılara özel bir arka kapı ve diğer kötü amaçlı yazılımlar dağıttı. Programın geliştiricisi ve siber güvenlik araştırmacıları bu durumu açıkladı.
Notepad++’ın Fransız geliştiricisi Don Ho, projenin web sitesinde yayınlanan bir blog yazısında, kötü niyetli aktörlerin Haziran 2025’ten itibaren belirli hedef kullanıcılar için güncelleme sürecini hedef aldığını belirtti. Ho’ya göre, bilgisayar korsanları Notepad++ güncellemeleri için kullanılan barındırma sunucusuna 2 Eylül 2025’e kadar erişebildi, ancak bazı barındırma hizmetlerine ait kimlik bilgilerini 2 Aralık 2025’e kadar korudu. Hangi Notepad++ kullanıcılarının hedef alındığı veya kaç kullanıcının hedef alındığı net değil. Ho, bir e-postada kaç kötü amaçlı güncellemenin indirildiğine dair bilgiye sahip olmadığını söyledi.
Çin bağlantılı tedarik zinciri saldırısı için detaylar netleşiyor
Ho: “Soruşturmadan bildiğim kadarıyla saldırı oldukça seçiciydi. İhlal penceresi sırasında tüm kullanıcılar kötü amaçlı güncellemeler almadı, bu da yaygın dağıtımdan ziyade kasıtlı hedeflemeyi gösteriyor” dedi.
Siber Güvenlik ve Altyapı Güvenliği Ajansı sözcüsü, ajansın “bildirilen ihlalin farkında olduğunu ve ABD Hükümeti (USG) genelinde olası bir güvenlik açığını araştırdığını” söyledi. Ho’nun blogunda, barındırma sağlayıcısından gelen ve müşterilere güncellemeleri iletmek için kullanılan sunucunun “etkilenmiş olabileceğini” ve bilgisayar korsanlarının özellikle Notepad++ ile ilişkili alan adını hedef aldığını belirten bir mesaj yer alıyordu.
İnternet kayıtları, alan adının 21 Ocak’a kadar Litvanyalı barındırma sağlayıcısı Hostinger tarafından barındırıldığını gösteriyor; Ho da bu gerçeği e-postada doğruladı. Hostinger sözcüsü gönderdiği bir e-postada, “kötü niyetli bir aktörün, güncelleme dosyasının URL’sine giden trafiğin yönlendirildiği bir tedarik zinciri saldırısı gerçekleştirdiğini” söyledi. Sözcü, Hostinger’ın Notepad++ ile birlikte çalıştığını ve olayla ilgili tüm bilgileri paylaştığını ve ayrıca şirket web sitesinde de paylaşabildiği bilgileri yayınladığını belirtti.
Siber güvenlik firması Rapid7, Pazartesi günü yayınladığı bir blog yazısında, saldırı kampanyasını Lotus Blossom olarak izlenen Çin bağlantılı bir siber casusluk grubuna bağladı. Rapid7’ye göre, 2009’dan beri aktif olan grup, tarihsel olarak Güneydoğu Asya’da ve daha yakın zamanda Orta Amerika’da hükümet, telekomünikasyon, havacılık, kritik altyapı ve medya sektörlerini hedef almıştır.
Washington’daki Çin Büyükelçiliği: “Çin, yasalara uygun olarak her türlü siber saldırıya karşı çıkıyor ve bunlarla mücadele ediyor. Siber saldırıları teşvik etmiyor, desteklemiyor veya göz yummuyoruz. İlgili tarafların, Çin hükümetinin siber saldırı faaliyetini finanse ettiği yönündeki sorumsuz iddialarını, herhangi bir somut kanıt sunmadıkları halde reddediyoruz” dedi.
