Цепочка поставок ПО

Уязвимость в механизме обновлений Notepad++ привела к целенаправленной доставке бэкдора

Компрометация инфраструктуры обновлений популярного текстового редактора Notepad++ позволила злоумышленникам в течение шести месяцев перехватывать трафик и подменять обновления для выбранных пользователей. Атака стала возможной из-за уязвимостей в собственном механизме обновлений GUP, включая использование незащищённого протокола HTTP в ранних версиях и ненадёжную проверку цифровых подписей. Через скомпрометированные обновления на целевые системы устанавливался сложный бэкдор «Chrysalis», что привело к инцидентам безопасности с прямым вмешательством хакеров в ряде организаций. Этот случай демонстрирует риски, связанные с безопасностью цепочек поставки программного обеспечения, особенно для критически важного открытого ПО. Подробнее →