Notepad++가 국가 지원 해커에 의해 탈취됨

• Notepad++ 공식 웹사이트 업데이트 트래픽이 공격자 서버로 리디렉션된 보안 침해 사건이 발생
• 공격은 호스팅 제공업체 인프라 수준의 침해를 통해 이루어졌으며, Notepad++ 코드 자체의 취약점은 아님
• 2025년 6월부터 12월 2일까지 공격이 지속되었으며, 여러 보안 연구자들은 중국 정부 지원 해킹 그룹의 소행으로 평가
• 공격자는 업데이트 검증 절차가 미흡한 구버전 Notepad++ 을 노려 악성 업데이트를 배포
• 이후 웹사이트 이전, 인증서·서명 검증 강화, XML 서명 도입 등으로 보안이 강화됨

사건 개요

• 보안 공지(v8.8.9 발표) 이후 외부 전문가 및 이전 호스팅 제공업체와의 협력으로 조사가 진행됨
• 분석 결과, 공격자는 notepad-plus-plus.org로 향하는 업데이트 트래픽을 가로채고 리디렉션할 수 있는 인프라 수준의 침해를 수행
• 침해는 Notepad++ 코드가 아닌 호스팅 제공업체 서버에서 발생
• 특정 사용자의 트래픽만 선별적으로 공격자 서버로 리디렉션되어 악성 업데이트 매니페스트를 제공

공격 시기 및 배후

• 공격은 2025년 6월부터 시작
• 여러 독립 보안 연구자들이 중국 정부 지원 해킹 그룹으로 추정
• 공격이 매우 제한적이고 선택적으로 수행된 점이 특징

호스팅 제공업체의 조사 결과

• 제공업체는 2025년 9월 2일까지 서버가 침해되었음을 확인
  • 해당 날짜에 커널 및 펌웨어 업데이트가 이루어졌으며, 이후 로그에서 유사한 패턴이 사라짐
• 공격자는 12월 2일까지 내부 서비스 자격 증명을 유지하여 트래픽 일부를 리디렉션 가능
• 로그 분석 결과, 다른 고객은 공격 대상이 아니었으며 Notepad++ 도메인만 표적
• 12월 2일 이후에는
  • 취약점 수정 및 자격 증명 교체 완료
  • 다른 서버에서 유사한 침해 흔적 없음
• 고객에게 SSH, FTP/SFTP, MySQL 비밀번호 변경 및 WordPress 관리자 계정 점검을 권고

요약(TL;DR)

• 공유 호스팅 서버는 2025년 9월 2일까지 침해, 이후 공격자는 12월 2일까지 내부 자격 증명 유지
• 공격자는 Notepad++ 업데이트 검증 취약점을 악용해 악성 업데이트를 배포
• 12월 2일 이후 모든 보안 강화 조치 완료, 추가 공격 차단

대응 및 보안 강화

• Notepad++ 웹사이트를 보안 수준이 높은 새 호스팅 제공업체로 이전
• Notepad++ 내부 업데이트 도구 WinGup은 v8.8.9부터
  • 다운로드된 설치 파일의 인증서 및 서명 검증 기능 추가
  • 업데이트 서버의 XML 응답에 XMLDSig 서명 적용
  • v8.9.2부터 인증서·서명 검증이 강제 적용 예정
• 사용자는 v8.9.1 버전 수동 설치를 권장

추가 정보 및 조사 한계

• 침해 지표(Indicator of Compromise, IoC) 는 확보되지 않음
  • 약 400GB의 서버 로그를 분석했으나 바이너리 해시, 도메인, IP 등 구체적 IoC 없음
  • 호스팅 제공업체에도 IoC 요청했으나 제공받지 못함
• Rapid7의 Ivan Feigl이 별도의 조사 결과를 공유했으며, 보다 구체적인 IoC를 보유하고 있음

결론

• 공격은 호스팅 인프라 침해를 통한 표적 업데이트 조작 형태
• 보안 강화 및 서버 이전으로 문제는 해결된 상태
• Notepad++는 향후 업데이트 검증 체계 강화를 통해 유사 공격 방지를 추진 중