Notepad++ 공급망 공격

1. 개요

- Notepad++ 업데이트 인프라가 침해되어 악성 업데이트가 배포된 공급망 공격이 25.07~25.12까지 지속됨

- Notepad++ 업데이트 서버가 호스팅 제공업체 수준에서 침해되어 업데이트 트래픽을 가로채고 악성 바이너리 유포

- 총 세 가지 공격 체인이 확인되었으며, 각 공격 체인은 서로 다른 악성 IP, 도메인 네임, 실행 방식, 페이로드를 사용

2. 주요내용

- 26.02.02 Notepad++는 업데이트 서버가 호스팅 제공업체 수준에서 침해되었다고 발표 [1]

> 침해기간은 25.06~09이며, 25.12까지 내부 서비스 접근 지속

> Notepad++ 코드 자체의 취약점이 아닌 호스팅 업체가 침해되어, 특정 사용자에게만 악성 업데이트가 선택적으로 전달

 

- Kaspersky는 25.07~10까지 C2 IP, 다운로더, 페이로드를 지속적으로 교체하며 공격해 온 것을 확인 [2]

> 베트남·엘살바도르·호주 개인 사용자, 필리핀 정부기관, 엘살바도르 금융 기관, 베트남 IT 서비스 기업 등을 대상으로하며, 총 12대 PC가 감염

[사진 1] 타임라인

2.1 감염 체인 #1 (2025.07 말 ~ 08 초)

- hxxp://45.76.155[.]202/update/update.exe에서 악성 업데이트 파일 다운로드

> 정상 프로세스 GUP.exe에 의해 실행되며, 시스템 정보(whoami, tasklist) 수집 후 hxxps://temp[.]sh에 업로드

파일명	SHA1
update.exe	8e6e505438c21f3d281e1cc257abdbf7223b7f5a 90e677d7ff5844407b9c073e3b7e896e078e11cd

 

- 이후, %appdata%\ProShow 폴더에 여러 파일을 드롭하고 ProShow.exe 실행

> 2010년대 알려진 ProShow 취약점을 악용해 load 파일 내 Metasploit 다운로더 실행

> hxxps://45.77.31[.]210/users/admin에서 Cobalt Strike Beacon 셸코드를 가져와 실행

드롭 파일명	SHA1
ProShow.exe	defb05d5a91e4920c9e22de2d81c5dc9b95a9a7c
defscr	259cd3542dea998c57f67ffdd4543ab836e3d2a3
if.dnt	46654a7ad6bc809b623c51938954de48e27a5618
proshow.crs	-
proshow.phd	-
proshow_e.bmp	9df6ecc47b192260826c247bf8d40384aa6e6fd6
load	06a6a5a39193075734a32e0235bde0e979c27228

※ load 파일을 제외한 나머지 파일은 정상 파일

 

- 8월 초에는 동일 체인으로 cdncheck.it[.]com 도메인을 이용한 변종이 관찰

 

2.2 감염 체인 #2 (2025.09 중순 ~ 하순)

- 동일 URL에서 update.exe 다운로드

파일명	SHA1
update.exe	573549869e84544e3ef253bdba79851dcde4963a 13179c8f19fbf3d8473c49983a199e6cb4f318f0

 

> %APPDATA%\Adobe\Scripts 폴더에 파일 드롭

> 세부 시스템 정보 수집(whoami&&tasklist&&systeminfo&&netstat -ano) 후 hxxps://temp[.]sh에 업로드

드롭 파일명	SHA1
alien.dll	6444dab57d93ce987c22da66b3706d5d7fc226da
lua5.1.dll	2ab0758dda4e71aee6f4c8e4c0265a796518f07d
script.exe	bf996a709835c0c16cce1015e6d44fc95e08a38a
alien.ini	ca4b6fe0c69472cd3d63b212eb805b7f65710d33

※ alien.ini 파일을 제외한 나머지 파일은 정상 파일

 

- Lua 인터프리터를 사용해 alien.ini 내 쉘코드 실행

> Metasploit 다운로더가 hxxtps://cdncheck.it[.]com/users/admin에서 Cobalt Strike Beacon 다운로드

 

- 9월 말에는 업로드 URL이 hxxps://self-dns.it[.]com/list, C2 서버가 safe-dns.it[.]com으로 변경된 변종 등장

 

2.3 감염 체인 #3 (2025.10)

- hxxp://45.32.144[.]255/update/update.exe에서 update.exe 다운로드

파일명	SHA1
update.exe	d7ffd7b588880cf61b603346a3557e7cce648c93

 

> %appdata%\Bluetooth\ 디렉터리에 파일 드롭

드롭 파일명	SHA1
BluetoothService.exe	21a942273c14e4b9d3faa58e4de1fd4d5014a1ed
log.dll	f7910d943a013eede24ac89d6388c1b98f8b3717
BluetoothService	7e0790226ea461bcc9ecd4be3c315ace41e1c122

※ BluetoothService.exe 정상 파일

 

- DLL 사이드로딩으로 log.dll이 BluetoothService 쉘코드 실행 [3]

> 최종 페이로드는 Chrysalis 백도어와 유사한 구조

 

2.4 감염 체인 #4 (2025.10 중순 ~ 말)

- hxxp://45.32.144[.]255/update/update.exe에서 파일 다운로드

파일명	SHA1
update.exe	821c0cafb2aab0f063ef7e313f64313fc81d46cd

 

- 기존 self-dns.it[.]com, safe-dns.it[.]com 도메인 재사용

- 10월 말에는 install.exe, AutoUpdater.exe 등 파일명으로 변형

3. 결론 및 권고

- Notepad++는 보안 강화를 위해 다음과 같은 조치를 취함

> 보안 수준이 높은 새로운 호스팅 업체로 이전

> 8.8.9 버전에서 다운로드한 설치 프로그램의 인증서와 서명을 모두 검증하는 등 업데이트 프로그램 개선

> 8.9.2 버전부터는 인증서 및 서명 검증이 의무화될 예정

 

- 탐지 및 대응 권고 사항

> NSIS 인스톨러 생성 로그(%localappdata%\Temp\ns.tmp) 확인

> temp[.]sh 도메인 통신 및 User-Agent 내 URL 포함 요청 탐지

> whoami, tasklist, systeminfo, netstat -ano 명령 실행 흔적 점검

> IoC 목록 기반 악성 도메인 및 파일 해시 탐색 [2][3]

4. 참고

[1] https://notepad-plus-plus.org/news/hijacked-incident-info-update/
[2] https://securelist.com/notepad-supply-chain-attack/118708/
[3] https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
[4] https://news.hada.io/topic?id=26348
[5] https://news.hada.io/topic?id=26399
[6] https://www.boannews.com/media/view.asp?idx=142022&page=2&kind=3
[7] https://www.dailysecu.com/news/articleView.html?idxno=205027