🚨 ด่วน!! Notepad++ อาจถูกดักจับและเปลี่ยนเส้นทางการอัปเดตไปยังเซิร์ฟเวอร์ที่เป็นอันตราย 🚨
-
ผู้ใช้งาน Notepad++ ที่มีการเปิดใช้งานระบบอัปเดตอัตโนมัติ ควรดำเนินการตรวจสอบโดยทันที
รายละเอียดเหตุการณ์
• พบข่าวสารการโจมตีทางไซเบอร์ Notepad++ อาจถูก Hijacked ส่งผลกระทบต่อระบบอัปเดตของโปรแกรม Notepad++ โดยผู้ไม่ประสงค์ดีสามารถแทรกแซงโครงสร้างพื้นฐานของระบบอัปเดต ทำให้ผู้ใช้งานบางรายอาจได้รับไฟล์อัปเดตที่ถูกดัดแปลง ซึ่งอาจก่อให้เกิดความเสี่ยงในการติดตั้งโค้ดอันตรายเข้าสู่ระบบโดยไม่รู้ตัว
• Notepad++ พบเหตุการณ์การโจมตีในลักษณะการยึดควบคุมโครงสร้างพื้นฐานของผู้ให้บริการโฮสติ้ง (Infrastructure-level compromise) ส่งผลให้ผู้โจมตีสามารถแทรกแซงกระบวนการอัปเดต และเปลี่ยนเส้นทางการอัปเดตจากระบบทางการไปยังเซิร์ฟเวอร์ที่ไม่ปลอดภัย ทำให้ผู้ใช้งานบางรายมีความเสี่ยงได้รับไฟล์อัปเดตที่ถูกดัดแปลง-
พฤติกรรมการโจมตีที่ตรวจพบ
• ระบบอัปเดตถูกเปลี่ยนเส้นทางไปยังเซิร์ฟเวอร์ของผู้โจมตี
• มีการแจกจ่ายไฟล์อัปเดตที่ถูกดัดแปลง
• มีความเสี่ยงในการดาวน์โหลด Payload อันตรายเพิ่มเติม -
ผลิตภัณฑ์ที่ได้รับผลกระทบ
ผู้ใช้งาน Notepad++ ที่มีการอัปเดตผ่านระบบ WinGUp ในช่วงเวลาที่โครงสร้างพื้นฐานถูกแทรกแซง (ก่อนออกเวอร์ชันแก้ไข)
ผู้ใช้งานและผู้ดูแลระบบสามารถตรวจสอบตัวบ่งชี้การถูกโจมตี (Indicators of Compromise: IoCs) ที่เกี่ยวข้องกับเหตุการณ์นี้ เพื่อใช้ในการตรวจสอบระบบและเครือข่ายย้อนหลัง ได้ดังนี้
• https://dg.th/qhvy6akx7n
• https://dg.th/179j0i2ncd
หมายเหตุ
เหตุการณ์นี้เป็นการโจมตีผ่านระบบอัปเดต ไม่ใช่ช่องโหว่ในตัวซอฟต์แวร์โดยตรง ดังนั้นผู้ที่มีการอัปเดตในช่วงเวลาดังกล่าวควรตรวจสอบระบบโดยทันที-
แนวทางการป้องกัน
• อัปเดต Notepad++ เป็นเวอร์ชันล่าสุด 8.8.9 หรือสูงกว่า
• ตรวจสอบความถูกต้องของไฟล์อัปเดตก่อนติดตั้ง
• สแกนระบบแบบ Full Scan หลังอัปเดตเสร็จ -
มาตรการชั่วคราว (กรณียังไม่สามารถอัปเดตได้ทันที)
• ตรวจสอบเครื่องว่ามีพฤติกรรมผิดปกติ เช่น เครื่องช้าผิดปกติ หรือมีโปรแกรมทำงานเอง
• สแกนมัลแวร์แบบ Full Scan ด้วยโปรแกรมป้องกันไวรัสที่เชื่อถือได้
• ดาวน์โหลดและอัปเดตโปรแกรมจากเว็บไซต์ทางการเท่านั้น
• จำกัดการเชื่อมต่อ update domain ผ่าน Firewall/Proxy
• หลีกเลี่ยงการติดตั้งจากลิงก์หรือแหล่งที่ไม่เป็นทางการ
-
