Notepad++ 해킹, 악성코드 유포 시도! 지금 바로 업데이트하세요.
Notepad++ 업데이트 서버가 중국 정부 지원 해커 그룹에 의해 해킹당해 악성코드 유포 시도가 있었음
해커들은 호스팅 업체의 인프라 레벨(Infrastructure Level)을 공격하여 업데이트 트래픽을 악성 서버로 리디렉션
2025년 6월부터 12월 2일까지, 특정 사용자를 대상으로 악성 업데이트(Malicious Update)를 배포하려 시도
Notepad++ v8.8.9에서 업데이트 검증 강화(Enhanced Update Verification)를 통해 보안 취약점 해결
공격 방식: 호스팅 인프라 침투
해커들은 호스팅 제공업체(Hosting Provider)의 인프라를 침투하여 Notepad++ 업데이트 트래픽을 악성 서버로 리디렉션했다. 이는 Notepad++ 코드 자체의 취약점이 아닌, 서버 레벨(Server Level)의 보안 문제로 발생했다. 특히, 2025년 9월 2일까지 서버 접근 권한을 유지하며, 12월 2일까지 내부 서비스 자격 증명을 활용하여 악성 업데이트를 배포하려 시도했다.
영향받는 사용자 및 공격 대상
공격은 특정 사용자를 대상으로 이루어졌으며, 중국 정부의 지원을 받는 해커 그룹(Chinese State-Sponsored Group)의 소행으로 추정된다. 공격자들은 Notepad++의 업데이트 검증 메커니즘의 취약점을 악용하여, 악성코드가 포함된 업데이트를 배포하려 했다. 업데이트 거부(Refuse the Update)하는 사용자는 직접적인 영향을 받지 않았을 가능성이 높다.
보안 강화 조치 및 사용자 대응
Notepad++는 v8.8.9에서 업데이트 검증 강화(Enhanced Update Verification)를 통해 보안을 강화했다. 구체적으로, 다운로드된 설치 파일의 인증서(Certificate)와 서명(Signature)을 검증하도록 변경했다. 또한, 업데이트 서버에서 반환되는 XML 파일에 XMLDSig를 적용하여 보안을 더욱 강화할 예정이다. 사용자들은 v8.9.1을 수동으로 설치하여 최신 보안 패치를 적용해야 한다.
호스팅 업체의 대응 및 책임
호스팅 제공업체는 2025년 9월 2일까지 서버가 침해되었음을 확인하고, 12월 2일까지 내부 서비스 자격 증명이 악용될 수 있었음을 밝혔다. 호스팅 업체는 취약점 수정(Fixed Vulnerabilities), 자격 증명 로테이션(Credential Rotation), 그리고 다른 서버에 대한 로그 검사(Log Check)를 통해 추가적인 피해를 방지했다. 하지만, 호스팅 업체의 보안 조치와 별개로, 사용자들은 최신 버전으로 업데이트하여야 한다.
