文章总结: Notepad++更新服务器遭黑客劫持,攻击者重定向流量至恶意服务器。漏洞源于更新程序缺乏完整性验证,导致被植入恶意程序。分析发现涉及Lua脚本注入和DLL侧加载的攻击链,最终部署CobaltStrike信标。文档列出详细IOC,建议厂商加强更新签名验证。 综合评分: 85 文章分类: 威胁情报,恶意软件,供应链安全,漏洞分析
更新就被种马,Notepad++遭国家级黑客流量劫持
原创
suntiger suntiger
二进制空间安全
2026年2月5日 15:35 北京
将二进制空间安全设为”星标⭐️”
第一时间收到文章更新
#
根据Notepad++的官方维护人员透露,其更新服务器遭到国家级黑客流量劫持,将前往notepad-plus-plus.org的更新流量重定向到恶意服务器。被入侵的基础设施是托管服务提供商的服务器,并不是notepad++本身代码的漏洞。问题的根源主要在于更新程序验证下载更新文件的完整性和真实性的逻辑有漏洞,允许攻击者拦截更新客户端和更新服务器之间的网络流量,从而欺骗工具下载不同的二进制文件。
目前总共发现有三条攻击链, 第一条攻击链源于地址:
http://45.76.155.202/update/update.exe, 攻击过程由一名受害用户在Notepad++论坛中提交,如图:
第二条攻击链仍然从URL:
http://45.76.155.202/update/update.exe
进行恶意程序分发,程序运行后会在 %APPDATA%\Adobe\Scripts目录下释放四个文件:alien.dll、lua5.1.dll、script.exe、alien.ini, 在这四个文件中,除了alien.ini,其余文件全部都是合法的。alien.ini实际上是一个lua脚本,内容如下:
这段Lua脚本是一个典型的进程内shellcode注入与执行流程,总共分为5个步骤。
步骤1: 加载kernel32 / user32 , 获取内存与回调类API。
步骤2:执行函数:
VirtualAlloc(0,len,0x3000,0x40),分配可执行内存。
步骤3:调用VirtualLock(ptr,len),锁页,避免换出。
步骤4:调用RtlMoveMemory(ptr,scc,len),将Shellcode写入该内存。
步骤5:执行EnumWindowStationsW(ptr,0),通过“回调”机制执行ptr处的shellcode。
黑客的第三条攻击链源自:
http://45.32.144.255/update/update.exe,
这次的恶意程序跟之前有所不同,不再发送系统信息给攻击者,而是在
%appdata%\Bluetooth\
目录下释放了三个文件:
BluetoothService.exe、log.dll和BluetoothService,
其中BluetoothService.exe是一个合法的可执行程序,log.dll是一个恶意的dll, BluetoothService是一个经过加密的shellcode。这种执行链依赖于 log.dll文件的侧加载,该文件负责将加密的 BluetoothService shellcode 加载到 BluetoothService.exe 进程中。
以下是收集到的所有的IOC和C2资源:
(1).用于恶意Notepad++更新部署的URL:
http://45.76.155[.]202/update/update.exe
http://45.32.144[.]255/update/update.exe
http://95.179.213[.]0/update/update.exe
http://95.179.213[.]0/update/install.exe
http://95.179.213[.]0/update/AutoUpdater.exe
(2).系统信息上传URL:
http://45.76.155[.]202/list
https://self-dns.it[.]com/list
(3).Metasploit 下载器用于部署Cobalt Strike 信标的URL:
https://45.77.31[.]210/users/admin
https://cdncheck.it[.]com/users/admin
https://safe-dns.it[.]com/help/Get-Start
(4).恶意Notepad++更新器传递的Cobalt Strike信标使用的URL:
https://45.77.31[.]210/api/update/v1
https://45.77.31[.]210/api/FileUpload/submit
https://cdncheck.it[.]com/api/update/v1
https://cdncheck.it[.]com/api/Metadata/submit
https://cdncheck.it[.]com/api/getInfo/v1
https://cdncheck.it[.]com/api/FileUpload/submit
https://safe-dns.it[.]com/resolve
https://safe-dns.it[.]com/dns-query
(5).其它相关URL:
https://api.skycloudcenter[.]com/a/chat/s/70521ddf-a2ef-4adf-9cf0-6d8e24aaa821
https://api.wiresguard[.]com/update/v1
https://api.wiresguard[.]com/api/FileUpload/submit
http://59.110.7[.]32:8880/uffhxpSy
http://59.110.7[.]32:8880/api/getBasicInfo/v1
http://59.110.7[.]32:8880/api/Metadata/submit
http://124.222.137[.]114:9999/3yZR31VK
http://124.222.137[.]114:9999/api/updateStatus/v1
http://124.222.137[.]114:9999/api/Info/submit
https://api.wiresguard[.]com/users/system
https://api.wiresguard[.]com/api/getInfo/v1
(全文完)
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:二进制空间安全 suntiger suntiger《更新就被种马,Notepad++遭国家级黑客流量劫持》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。
评论