소프트웨어 Notepad++ 업데이트 기능이 수개월 동안 중국 정부 해커에 의해 탈취당했습...
2026.02.03 21:00
Notepad++ 업데이트 기능이 수개월 동안 중국 정부 해커에 의해 탈취당했습니다.
Notepad++ 개발사는 오늘 공식 발표를 통해 작년에 거의 반년 동안 지속된 Notepad++ 업데이트 트래픽 해킹 사건의 배후에 중국 정부의 지원을 받는 위협 집단이 있을 가능성이 높다고 밝혔습니다.
공격자들은 Notepad++ 업데이트 검증 시스템의 보안 취약점을 악용하여 특정 사용자의 업데이트 요청을 가로채 악성 서버로 리디렉션하고, 변조된 업데이트 매니페스트를 전송했습니다.
업데이트 기능 호스팅 업체 측은 로그 분석 결과 공격자가 Notepad++ 업데이트 애플리케이션이 설치된 서버를 침해한 것으로 나타났다고 설명했습니다.
조사에 참여한 외부 보안 전문가들은 공격이 2025년 6월에 시작된 것으로 추정했습니다. 개발사에 따르면 이번 침해는 특정 사용자만을 대상으로 한 매우 정밀한 공격이었습니다.
Notepad++는 발표문을 통해 "여러 독립적인 보안 연구원들이 이번 공격의 배후에 중국 정부의 지원을 받는 조직일 가능성이 높다고 평가했으며, 이는 이번 공격 캠페인에서 관찰된 매우 정밀한 타겟팅 전략을 설명해 준다"고 밝혔습니다.
"공격자들은 특히 Notepad++ 도메인을 표적으로 삼아 이전 버전의 Notepad++에 존재했던 불충분한 업데이트 검증 제어 기능을 악용하려 했습니다."
Notepad++는 12월에 WinGUp 업데이트 도구의 보안 취약점을 해결하기 위해 버전 8.8.9를 출시했습니다. 여러 연구원들이 업데이트 도구가 정상적인 패키지 대신 악성 패키지를 수신하는 문제를 보고했기 때문입니다.
보안 연구원 케빈 보몬트는 최소 세 곳의 조직이 이러한 업데이트 하이재킹의 영향을 받았으며, 이후 네트워크에 대한 직접적인 정찰 활동이 이어졌다고 경고했습니다.
Notepad++는 텍스트 및 소스 코드 편집기로, 전 세계 수천만 명의 사용자를 보유한 인기 있는 Windows 도구입니다.
개발사는 이번 공격이 2025년 6월에 발생했으며, 소프트웨어 호스팅 제공업체가 해킹당하면서 공격자들이 표적 트래픽 리디렉션을 수행할 수 있게 되었다고 설명했습니다.
9월 초, 서버 커널과 펌웨어가 업데이트되면서 공격자는 일시적으로 접근 권한을 잃었습니다. 하지만 공격자는 이전에 획득한 변경되지 않은 내부 서비스 자격 증명을 사용하여 다시 접근 권한을 확보할 수 있었습니다.
이러한 공격은 호스팅 제공업체가 침해 사실을 감지하고 공격자의 접근을 차단한 2025년 12월 2일까지 계속되었습니다
Notepad++는 이후 모든 고객을 보안이 강화된 새로운 호스팅 제공업체로 이전하고, 공격자가 탈취했을 가능성이 있는 모든 자격 증명을 변경하고, 악용된 취약점을 수정하고, 로그를 철저히 분석하여 악성 활동이 중단되었음을 확인했습니다
Notepad++ 사용자는 보안 강화를 위해 다음과 같은 조치를 취할 것을 권장합니다:
- SSH, FTP/SFTP 및 MySQL 자격 증명을 변경하십시오.
- WordPress 관리자 계정을 검토하고, 비밀번호를 재설정하고, 불필요한 사용자를 삭제하십시오.
- WordPress 코어, 플러그인 및 테마를 업데이트하고, 해당되는 경우 자동 업데이트를 활성화하십시오.
Notepad++ 버전 8.8.9부터 WinGup은 설치 프로그램 인증서와 서명을 검증하고, 업데이트 XML 파일에 암호화 서명을 적용합니다.
개발자는 약 한 달 후 출시 예정인 8.9.2 버전에서 인증서 서명 확인을 의무화할 계획이라고 밝혔습니다.
BleepingComputer는 Notepad++ 개발자인 Don Ho에게 침해 지표(IoC) 또는 사용자가 영향을 받았는지 판단하는 데 도움이 될 수 있는 기타 정보를 요청했습니다.
Don Ho는 서버 로그를 분석한 결과 침입 흔적은 발견했지만 IoC는 발견하지 못했다고 밝혔습니다. 그는 "저희 침해 대응팀과 저는 이전 호스팅 제공업체에 직접 IoC를 요청했지만, 받지 못했습니다."라고 말했습니다.
하지만 Rapid 7 연구원들은 이번 공격을 중국 APT 그룹인 Lotus Blossom(일명 Raspberry Typhoon, Bilbug, Spring Dragon)이 "이전에 알려지지 않은 맞춤형 백도어"인 Chrysalis를 배포한 소행으로 추정했습니다..
연구원들은 Chrysalis가 다양한 기능을 제공하는 점을 고려할 때, 피해 시스템에 영구적으로 설치되는 정교한 도구라고 보고 있습니다.
연구진은 해당 악성코드에 대한 상세한 기술 분석 결과를 발표했으며, 업데이트 관련 메커니즘 악용을 확정적으로 입증할 만한 증거는 발견하지 못했다고 밝혔습니다.
Rapid 7은 "확인된 유일한 행위는 'notepad++.exe'와 그 뒤를 이은 'GUP.exe' 실행 후 의심스러운 프로세스 'update.exe'가 실행되었다는 점"이라고 설명했습니다.
업데이트 [2월 2일 오후 12시 02분(미국 동부시간)]: 본 기사는 게시 후 도착한 Notepad++ 개발자 Don Ho의 의견과 Rapid 7의 조사 내용을 추가하여 업데이트되었습니다.
헐.... ㅅㅂ랄 노트패드에 암호 같은거 적은거 탈취 됬다는건가요??