Notepad++ 공급망 공격 분석

• Notepad++ 업데이트 인프라가 침해되어 악성 업데이트가 배포된 공급망 공격이 2025년 중반부터 10월까지 지속됨
• 공격자는 Cobalt Strike Beacon과 Metasploit 다운로더를 활용해 세 차례에 걸친 서로 다른 감염 체인을 운영
• 감염 대상은 베트남·엘살바도르·호주 개인 사용자, 필리핀 정부기관, 엘살바도르 금융기관, 베트남 IT 서비스 기업 등으로 확인
• 공격 방식은 NSIS 인스톨러 악용, ProShow 취약점 이용, Lua 스크립트 실행, DLL 사이드로딩 등으로 다양하게 변화
• 카스퍼스키는 Kaspersky Next EDR Expert로 해당 공격을 탐지했으며, temp.sh 통신·명령 실행 흔적·레지스트리 자동실행 등록 등을 주요 탐지 지표로 제시

사건 개요

• 2026년 2월 2일 Notepad++ 개발팀은 업데이트 서버가 호스팅 제공업체 수준에서 침해되었다고 발표
  • 침해 기간은 2025년 6월~9월, 내부 서비스 접근은 12월까지 지속
• 카스퍼스키는 2025년 7월~10월 사이 공격자가 C2 서버 주소, 다운로더, 페이로드를 지속적으로 교체하며 공격을 이어간 것을 확인
• 피해자는 소수의 표적 시스템으로, 총 10여 대의 컴퓨터가 감염된 것으로 분석

감염 체인 #1 (2025년 7월 말~8월 초)

• 악성 업데이트 파일: http://45.76.155[.]202/update/update.exe
  • SHA1: 8e6e505438c21f3d281e1cc257abdbf7223b7f5a
• 합법적 프로세스 GUP.exe가 실행하며, 시스템 정보 수집 후 temp.sh에 업로드
  • whoami, tasklist 명령 실행 결과를 curl로 전송
• 이후 %appdata%\ProShow 폴더에 여러 파일을 드롭하고 ProShow.exe 실행
  • ProShow의 2010년대 취약점을 악용해 load 파일 내 Metasploit 다운로더를 실행
  • 다운로더는 Cobalt Strike Beacon을 https://45.77.31[.]210/users/admin에서 받아 실행
• 8월 초에는 동일 체인으로 cdncheck.it[.]com 도메인을 이용한 변종이 관찰됨

감염 체인 #2 (2025년 9월 중·하순)

• 동일 URL에서 배포된 update.exe (SHA1: 573549869e84544e3ef253bdba79851dcde4963a)
  • %APPDATA%\Adobe\Scripts 폴더 사용
  • whoami, tasklist, systeminfo, netstat -ano 명령으로 세부 시스템 정보 수집
• 드롭 파일: alien.dll, lua5.1.dll, script.exe, alien.ini
  • Lua 인터프리터를 이용해 alien.ini 내 쉘코드 실행
  • Metasploit 다운로더가 cdncheck.it[.]com/users/admin에서 Cobalt Strike Beacon을 다운로드
• 9월 말에는 업로드 URL이 https://self-dns.it[.]com/list, C2 서버가 safe-dns.it[.]com으로 변경된 변종 등장

감염 체인 #3 (2025년 10월)

• 새로운 업데이트 서버: http://45.32.144[.]255/update/update.exe
  • SHA1: d7ffd7b588880cf61b603346a3557e7cce648c93
• %appdata%\Bluetooth\ 폴더에 파일 드롭
  • BluetoothService.exe(정상), log.dll(악성), BluetoothService(암호화된 쉘코드)
• DLL 사이드로딩으로 log.dll이 BluetoothService 쉘코드를 실행
  • Chrysalis 백도어와 유사한 구조로, Rapid7 분석 결과 Cobalt Strike Beacon도 함께 배포된 사례 존재

체인 #2의 재등장 및 URL 변경 (2025년 10월 중순~말)

• 새 URL: http://95.179.213[.]0/update/update.exe
  • 기존 self-dns.it[.]com, safe-dns.it[.]com 도메인 재사용
• 10월 말에는 install.exe, AutoUpdater.exe 등 파일명으로 변형
  • 11월 이후 추가 감염은 관찰되지 않음

결론 및 탐지 권고

• 공격자는 Notepad++ 업데이트 서버를 장악해 고위험 조직 침투를 시도
  • 감염 체인을 월 단위로 변경하며 지속적 접근 유지
• 탐지 및 대응 권장 사항
  • NSIS 인스톨러 생성 로그(%localappdata%\Temp\ns.tmp) 확인
  • temp.sh 도메인 통신 및 User-Agent 내 URL 포함 요청 탐지
  • whoami, tasklist, systeminfo, netstat -ano 명령 실행 흔적 점검
  • IoC 목록 기반 악성 도메인 및 파일 해시 탐색

Kaspersky 탐지

• Kaspersky Next EDR Expert가 공격 행위를 탐지
  • lolc2_connection_activity_network 규칙으로 temp.sh 통신 탐지
  • system_owner_user_discovery, system_information_discovery_win 등 규칙으로 로컬 정찰 명령 탐지
  • temporary_folder_in_registry_autorun 규칙으로 레지스트리 자동실행 등록 탐지

주요 IoC 요약

• 악성 업데이트 URL:
  • http://45.76.155[.]202/update/update.exe, http://45.32.144[.]255/update/update.exe, http://95.179.213[.]0/update/update.exe 등
• Cobalt Strike 관련 URL:
  • https://45.77.31[.]210/users/admin, https://cdncheck.it[.]com/users/admin, https://safe-dns.it[.]com/help/Get-Start
• 악성 파일 경로:
  • %appdata%\ProShow\load, %appdata%\Adobe\Scripts\alien.ini, %appdata%\Bluetooth\BluetoothService
• 주요 해시:
  • 8e6e505438c21f3d281e1cc257abdbf7223b7f5a, 573549869e84544e3ef253bdba79851dcde4963a, d7ffd7b588880cf61b603346a3557e7cce648c93 등

이 사건은 공급망 공격의 정교화와 다단계 감염 체인의 진화를 보여주며, 개발자 및 IT 인프라 운영자의 업데이트 무결성 검증 강화 필요성을 강조함.