텍스트 편집기 노트패드 플러스 플러스(Notepad++)의 공식 업데이트 기능이 국가가 배후로 추정되는 해킹 공격에 악용돼 선택된 일부 이용자에게 악성코드를 유포하는 데 사용된 사실이 드러났다.

 

보안 전문 매체 더 해커 뉴스(The Hacker News)에 따르면 노트패드 플러스 플러스를 유지·관리하는 개발자 돈 호(Don Ho)는 국가의 지원을 받는 공격자들이 이 유틸리티의 업데이트 메커니즘을 장악해, 업데이트 트래픽을 악성 서버로 우회시키도록 했다고 밝혔다.

 

돈 호 개발자는 공격이 "인프라 수준의 침해를 포함해 악성 행위자가 notepad-plus-plus.org로 향하던 업데이트 트래픽을 가로채고 우회시키도록 했다"며, "이번 침해는 노트패드 플러스 플러스 코드 자체의 취약점이 아니라 호스팅 제공업체 수준에서 발생했다"고 설명했다.

 

 

그는 이러한 공격이 구체적으로 어떤 방식으로 이뤄졌는지는 현재 조사 중이라고 덧붙였다.

 

이번 사태는 노트패드 플러스 플러스가 12월 초 버전 8.8.9를 공개한 지 한 달여가 조금 넘은 시점에 드러났다. 이 버전은 노트패드 플러스 플러스 업데이트 도구 윈업(WinGUp)의 트래픽이 "간헐적으로" 악성 도메인으로 리디렉션돼, 오염된 실행 파일이 다운로드되는 문제를 해결하기 위해 배포된 것이었다.

 

더 해커 뉴스에 따르면 문제의 근본 원인은 업데이트 도구가 내려받은 업데이트 파일의 무결성과 진위를 검증하는 방식에 있었다. 이로 인해 업데이트 클라이언트와 업데이트 서버 사이의 네트워크 트래픽을 가로챌 수 있는 공격자가, 도구를 속여 다른 바이너리를 내려받게 만들 수 있는 여지가 생겼다.

 

이러한 리디렉션은 매우 표적화된 방식으로 이뤄진 것으로 추정되며, 특정 이용자들에게서 발생한 트래픽만이 악성 서버로 우회돼 악성 구성요소를 내려받게 된 것으로 보인다. 이번 사건은 2025년 6월에 시작된 것으로 평가되며, 외부에 알려지기까지 6개월이 넘게 소요된 것으로 전해졌다.

 

독립 보안 연구원 케빈 보몬트(Kevin Beaumont)는 이 취약점이 중국 내 위협 행위자들에 의해 악용돼 네트워크를 장악하고, 표적에게 악성코드를 내려받도록 속이는 데 활용됐다고 밝혔다. 더 해커 뉴스는 이 공격이 비올렛 타이푼(Violet Typhoon, APT31)으로 알려진 국가 차원의 위협 행위자에게 귀속되고 있으며, 동아시아 지역의 통신, 금융 서비스 기관들을 겨냥했다고 전했다.

 

보도에 따르면 이번 보안 사고 이후 노트패드 플러스 플러스 웹사이트는 "훨씬 강력한 관행"을 적용한 새로운 호스팅 제공업체로 이전됐다. 또한 업데이트 과정의 무결성을 보장하기 위해 추가적인 안전장치를 도입해 업데이트 절차를 강화했다.

 

돈 호 개발자는 "이전 호스팅 제공업체에 따르면, 공유 호스팅 서버는 2025년 9월 2일(현지 시간)까지 침해된 상태였다"며, "공격자들은 서버 접근 권한을 잃은 이후에도 2025년 12월 2일(현지 시간)까지 내부 서비스 자격 증명을 유지해, 노트패드 플러스 플러스 업데이트 트래픽을 악성 서버로 계속 리디렉션할 수 있었다"고 설명했다.

 

헬로티  |