Notepad++ tedarik zinciri saldırısının analizi

 (securelist.com)
2 puan yazan GN⁺ 2026-02-05 | 1 yorum | WhatsApp'ta paylaş
  • Notepad++ güncelleme altyapısının ele geçirilmesiyle kötü amaçlı güncellemelerin dağıtıldığı bir tedarik zinciri saldırısı 2025 ortasından Ekim ayına kadar sürdü
  • Saldırganlar, Cobalt Strike Beacon ve Metasploit downloader kullanarak üç aşamada birbirinden farklı enfeksiyon zincirleri işletti
  • Enfekte edilen hedefler arasında Vietnam, El Salvador ve Avustralya'daki bireysel kullanıcılar, Filipinler'deki bir devlet kurumu, El Salvador'daki bir finans kurumu ve Vietnam'daki bir IT hizmet şirketi yer aldı
  • Saldırı yöntemi; NSIS installer suistimali, ProShow açığının kullanılması, Lua script çalıştırma ve DLL sideloading gibi farklı tekniklerle çeşitlendi
  • Kaspersky, bu saldırıyı Kaspersky Next EDR Expert ile tespit etti ve temp.sh iletişimi, komut çalıştırma izleri ve registry autorun kaydı gibi göstergeleri başlıca tespit işaretleri olarak sundu

Olayın özeti

  • 2 Şubat 2026'da Notepad++ geliştirme ekibi, güncelleme sunucusunun barındırma sağlayıcısı seviyesinde ele geçirildiğini duyurdu
    • İhlal dönemi 2025 Haziran-Eylül arasındaydı, iç hizmetlere erişim ise Aralık ayına kadar sürdü
  • Kaspersky, 2025 Temmuz-Ekim arasında saldırganların C2 sunucu adreslerini, downloader'ları ve payload'ları sürekli değiştirerek saldırıyı sürdürdüğünü doğruladı
  • Mağdurların az sayıda hedef sistem olduğu ve toplamda yaklaşık 10 bilgisayarın enfekte edildiği değerlendirildi

Enfeksiyon zinciri #1 (2025 Temmuz sonu-Ağustos başı)

  • Kötü amaçlı güncelleme dosyası: http://45.76.155[.]202/update/update.exe
    • SHA1: 8e6e505438c21f3d281e1cc257abdbf7223b7f5a
  • Meşru GUP.exe süreci çalıştırılıyor ve sistem bilgileri toplandıktan sonra temp.sh'ye yükleniyor
    • whoami, tasklist komutlarının çıktılarını curl ile gönderiyor
  • Ardından %appdata%\ProShow klasörüne birden fazla dosya bırakılıyor ve ProShow.exe çalıştırılıyor
    • ProShow'un 2010'lu yıllardan kalma bir açığı kullanılarak load dosyası içindeki Metasploit downloader çalıştırılıyor
    • Downloader, Cobalt Strike Beaconhttps://45.77.31[.]210/users/admin adresinden alıp çalıştırıyor
  • Ağustos başında aynı zincirin cdncheck.it[.]com alan adını kullanan bir varyantı da gözlendi

Enfeksiyon zinciri #2 (2025 Eylül ortası-sonu)

  • Aynı URL'den dağıtılan update.exe (SHA1: 573549869e84544e3ef253bdba79851dcde4963a)
    • %APPDATA%\Adobe\Scripts klasörü kullanılıyor
    • whoami, tasklist, systeminfo, netstat -ano komutlarıyla ayrıntılı sistem bilgisi toplanıyor
  • Bırakılan dosyalar: alien.dll, lua5.1.dll, script.exe, alien.ini
    • Lua interpreter kullanılarak alien.ini içindeki shellcode çalıştırılıyor
    • Metasploit downloader, cdncheck.it[.]com/users/admin adresinden Cobalt Strike Beacon indiriyor
  • Eylül sonunda yükleme URL'sinin https://self-dns.it[.]com/list, C2 sunucusunun ise safe-dns.it[.]com olarak değiştiği bir varyant ortaya çıktı

Enfeksiyon zinciri #3 (2025 Ekim)

  • Yeni güncelleme sunucusu: http://45.32.144[.]255/update/update.exe
    • SHA1: d7ffd7b588880cf61b603346a3557e7cce648c93
  • Dosyalar %appdata%\Bluetooth\ klasörüne bırakılıyor
    • BluetoothService.exe (normal), log.dll (kötü amaçlı), BluetoothService (şifrelenmiş shellcode)
  • DLL sideloading ile log.dll, BluetoothService shellcode'unu çalıştırıyor
    • Yapı olarak Chrysalis backdoor'a benziyor ve Rapid7 analizine göre Cobalt Strike Beacon'ın da birlikte dağıtıldığı vakalar mevcut

Zincir #2'nin yeniden ortaya çıkması ve URL değişikliği (2025 Ekim ortası-sonu)

  • Yeni URL: http://95.179.213[.]0/update/update.exe
    • Mevcut self-dns.it[.]com ve safe-dns.it[.]com alan adları yeniden kullanıldı
  • Ekim sonunda dosya adları install.exe, AutoUpdater.exe gibi biçimlere dönüştü
    • Kasım sonrasında ek enfeksiyon gözlenmedi

Sonuç ve tespit önerileri

  • Saldırganlar, Notepad++ güncelleme sunucusunu ele geçirerek yüksek riskli kuruluşlara sızmayı hedefledi
    • Enfeksiyon zincirlerini ay bazında değiştirerek kalıcı erişimi sürdürdüler
  • Tespit ve müdahale için öneriler
    • NSIS installer oluşturma loglarını (%localappdata%\Temp\ns.tmp) kontrol edin
    • temp.sh alan adı iletişimini ve User-Agent içinde URL bulunan istekleri tespit edin
    • whoami, tasklist, systeminfo, netstat -ano komut çalıştırma izlerini inceleyin
    • IoC listesine dayalı olarak kötü amaçlı alan adlarını ve dosya hash'lerini avlayın

Kaspersky tespiti

  • Kaspersky Next EDR Expert, saldırı faaliyetlerini tespit etti
    • lolc2_connection_activity_network kuralıyla temp.sh iletişimi tespit edildi
    • system_owner_user_discovery, system_information_discovery_win gibi kurallarla yerel keşif komutları tespit edildi
    • temporary_folder_in_registry_autorun kuralıyla registry autorun kaydı tespit edildi

Başlıca IoC özeti

Bu olay, tedarik zinciri saldırılarının giderek daha sofistike hale geldiğini ve çok aşamalı enfeksiyon zincirlerinin evrimini gösterirken, geliştiriciler ile IT altyapı işletmecileri için güncelleme bütünlüğü doğrulamasını güçlendirme gerekliliğini vurguluyor.

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-05
Hacker News görüşleri

  • WinGUp güncelleme programının saldırıda kötüye kullanılması, tedarik zinciri saldırısının tipik bir örneği
    Saldırganlar, güncelleme kanalına güvenen sistemlerde kod çalıştırma yetkisi elde ediyor
    Özellikle bunun 6 ay boyunca tespit edilmemiş olması endişe verici
    Kurumlar kademeli dağıtımı ve anormal ağ trafiği izlemeyi, bireyler ise kriptografik doğrulama sunan paket yöneticilerini kullanmayı değerlendirmeli

    • Windows'ta hâlâ standartlaşmış bir paket yöneticisinin olmaması sorun
      Birçok program reklamla dolu web sitelerinden indiriliyor ve her biri farklı şekilde güncelleniyor
      Microsoft Store bunu değiştirmek için bir fırsattı ama hem tasarım hem de itibar açısından başarısız oldu
      WinGet çok daha iyi, ancak hâlâ daha çok geliştirici odaklı bir araç düzeyinde

  • Ben Notepad++'ı varsayılan Not Defteri yerine kullanıyorum
    Ağ bağlantısının neden varsayılan olarak açık olduğunu anlayamamıştım
    Yaptığım ilk şey onu kapatmak oldu ve şu anda 2020 sürümünü memnuniyetle kullanıyorum
    Bir gün gerekirse güncellemeyi kendim manuel olarak yaparım

  • Notepad++ en sevdiğim editörlerden biriydi ama bu saldırıdan sonra BT departmanında kullanımı yasaklandı
    Güvenlik kontrollerinde yüklü olup olmadığı bile denetleniyor

    • Güven tamamen sarsıldı
      Resmî blogdaki yanıt da güven vermiyordu ve güvenin yeniden kazanılmasının uzun zaman alacağı gibi görünüyor
    • Ben de aynı fikirdeyim
      Sekmeler ve yazım denetimi iki temel özellikti, ama artık varsayılan Not Defteri de bunları destekliyor
      Yalnız bir CoPilot düğmesi eklendi, ancak ayarlardan kapatılabiliyor

  • Bu yüzden birçok aracı sandbox ortamında çalıştırıyorum
    Böylece zarar o dizinle sınırlı kalıyor
    Bir aracın bulut sürücüme ya da tarayıcı çerezlerime erişmesi için bir neden yok

    • macOS'nin arayüzü konusunda çok tartışma var ama ayrıntılı izin denetimi açısından en önde olduğunu düşünüyorum
      Linux topluluğu böyle bir yaklaşıma direniyor, ama sonuçta gelecek iOS tarzı sandbox uygulamaları
      Çünkü kullanıcılar uygulamaların davranışlarını denetlemek istiyor
      FOSS dünyası bunu görmezden gelirse, sonuçta büyük teknoloji şirketleri etrafında merkezileşme kaçınılmaz olur
    • Bence tüm uygulamalar varsayılan olarak sandbox içinde çalışmalı
      Uygulamanın kök dizinin dışına çıkamaması ve dış erişimin açıkça izin verilmedikçe engellenmesi gerekir
      macOS'teki erişim istemleri fazla olsa da daha ayrıntılı izin denetimi gerektiğini düşünüyorum
    • Sandbox içinde çalıştırırken internet erişimini engellemek de önemli
      Bir metin editörünün ağ bağlantısına ihtiyacı yoktur ve düzenlenen metni dışarı sızdırabilir
      Saldırganlar sistem bilgilerini gönderip temp.sh gibi hizmetlere dosya yükledikten sonra C2 sunucularıyla iletişim kuruyor
      Örnek olarak Cobalt Strike Beacon'ın cdncheck.it[.]com ile iletişim kurduğu bir kod var
    • Windows'ta sandbox'ın nasıl uygulanacağı soruluyor

  • Bu saldırı, geliştiricilerin ve kullanıcıların doğrudan doğrulamadıkları koda giderek daha fazla güvenmeye başlamasını gösteriyor
    Aynı sorun npm/pip paket kurulumlarında, yapay zeka tarafından üretilen kodda ve 'vibe coding' trendinde de tekrar ediyor
    Notepad++ tek bir binary olduğu için nispeten daha iyi bir örnek, ama modern geliştirme ortamlarında yüzlerce bağımlılık ve yapay zeka kodu iç içe geçmiş durumda
    Sandbox önemli, ama asıl sorun kodun yapabilecekleriyle ondan beklenenler arasındaki fark
    Çalışan kodu daha iyi anlamayı sağlayacak araçlara ihtiyaç var

    • Ama benim deneyimime göre güven aslında azalıyor
      15 yıl önce kimse tedarik zincirini dert etmiyordu ve Unix kullanıcıları doğrulama yapmadan tarball derliyordu
    • Ken Thompson'ın klasik makalesi “Reflections on Trusting Trust” akla geliyor
      Sandbox yardımcı olur ama mükemmel bir çözüm değildir
      Notepad++ gibi sistem dosyalarını düzenleme yetkisi olan araçlar hâlâ risklidir

  • Enfeksiyonu tespit edip temizleyebilecek resmî bir araç olup olmadığını merak ediyorum

    • Windows enfekte olduğunda tek çözüm diski sıfırlayıp işletim sistemini yeniden kurmak
      Zararlı yazılım sistemin her yerine saklanabilir ve yalnızca UAC uyarılarıyla bunu engellemek mümkün değildir
    • MS Defender çevrimdışı modunun çalıştırılması öneriliyor

  • Şu anda enfekte durumdaysam bunun Malwarebytes ile tespit edilip edilemeyeceğini merak ediyorum

    • OP gönderisinde uzlaşma göstergeleri (IOC) listesi var
      Rapid7 analiz yazısında da aynı içerik yer alıyor
      Orijinal duyuruda bu bağlantının olmaması şaşırtıcı
    • Ama Malwarebytes son dönemdeki kalite düşüşü nedeniyle artık eskisi kadar faydalı değil

  • Notepad++'ın dijital imzasının nasıl aşıldığını merak ediyorum
    Kendim indirip baktım, geçerli bir kod imzası vardı

    • Resmî duyuruya göre sertifika olmadan dağıtılan sürümler vardı
    • Güncelleme programı yeni kurulum dosyasının sertifikasını doğrulamadan onu doğrudan çalıştırdı

  • Artık güvenlik açıklarını kapatmak için sık güncelleme yapmak gerekiyor, ama tedarik zinciri saldırılarından kaçınmak için güncellemeleri ertelemek gerekiyor gibi çelişkili bir durum var
    Bu dengeyi nasıl kurmak gerektiğini bilmiyorum

    • Eskiden güncellemeler sistemi kararsız hâle de getirebiliyordu
      Son dönemde Microsoft güncellemelerinin güvenilirliği de düştü ve önyükleme sorunları gibi problemler yüzünden otomatik güncellemeleri kapatanların sayısı artıyor
    • Dependabot'un cooldown ayarı gibi, belli bir gecikmeden sonra güncelleme uygulayan yerel bir paket yöneticisi olsa iyi olurdu
      İlgili belge: GitHub Dependabot seçenekleri
    • Sonuçta bu, zero-day açıklarıyla tedarik zinciri saldırıları arasındaki bir ödünleşim
      İnternete sık bağlanan uygulamalar sık güncellenmeli, basit yerel araçlarda ise otomatik güncelleme kapatılabilir
    • Ortama göre değişir
      İnternet içeriğiyle çalışılıyorsa güncelleme şarttır, ama yalnızca yerel kullanım varsa gerektiğinde güncellemek yeterlidir
      Çoğu durum bunların arasında bir yerde bulunur

  • Referans olarak Rapid7'nin analiz yazısı paylaşılıyor