كشف تقرير حديث عن اختراق مجموعة تجسس ترعاها دولة، تُعرف باسم “Lotus Blossom”، للبنية التحتية الرسمية لاستضافة برنامج Notepad++، وذلك في الفترة ما بين يونيو وديسمبر 2025. استهدف الهجوم مستخدمي الجهات الحكومية وشركات الاتصالات وقطاعات البنية التحتية الحيوية، مما يسلط الضوء على التحديات الأمنية المتزايدة التي تواجه المؤسسات.
تمكن المهاجمون من الوصول عبر اختراق بيئة مزود الاستضافة المشتركة، مما سمح لهم باعتراض حركة المرور الموجهة لخادم تحديثات Notepad++ وإعادة توجيهها إلى البنية التحتية الخبيثة الخاصة بهم. هذا الانحراف على مستوى البنية التحتية أتاح استهدافًا انتقائيًا للضحايا، تركزت بشكل أساسي في جنوب شرق آسيا، لكن الحملة امتدت أيضًا لتشمل أمريكا الجنوبية والولايات المتحدة وأوروبا.
يُعد Notepad++ محرر أكواد مفتوح المصدر وخفيف الوزن، ويستخدم على نطاق واسع من قبل مديري الأنظمة ومهندسي الشبكات وفرق DevOps في البيئات المؤسسية. يعتمد هؤلاء المهنيون بشكل شائع على هذه الأداة لتعديل تكوينات الخوادم، وتحليل سجلات النظام، وتدقيق الكود على الأنظمة الآمنة حيث قد تكون التطبيقات الكبيرة غير عملية.
تفاصيل اختراق Lotus Blossom لـ Notepad++
وفقًا لتحليلات شركة Palo Alto Networks، فإن اختراق هذه الأداة تحديدًا سمح للمهاجمين بتجاوز دفاعات المحيط الخارجي (perimeter defenses) واكتساب وصول إداري ضمني إلى البنية التحتية الأساسية للشبكة، وذلك من خلال التسلل إلى جلسات المستخدمين ذوي الصلاحيات.
استغل الهجوم ضوابط تحقق غير كافية في الإصدارات القديمة من WinGUp، المكون المسؤول عن تحديث Notepad++. عندما حاول الضحايا المستهدفون تحديث برامجهم، قاموا عن غير قصد بتنزيل مثبت NSIS خبيث باسم update.exe، والذي أطلق سلسلة إصابات معقدة.
اكتشف باحثو Unit 42 تسلسلَي هجوم مميزين، بما في ذلك متغير حقن سكربت Lua الذي قام بتوصيل برمجيات خبيثة من نوع Cobalt Strike beacon، وسلسلة أخرى استخدمت تقنيات DLL sideloading لنشر باب خلفي (backdoor) يُطلق عليه Chrysalis.
آلية الإصابة وتقنيات متقدمة
استغل المثبت الخبيث مكون Bitdefender شرعي يُعرف باسم BluetoothService.exe لتحميل مكتبة خبيثة، log.dll. قامت هذه المكتبة بعد ذلك بفك تشفير وتنفيذ الباب الخلفي المخصص.
أظهرت أنشطة إضافية لوحظت بين أغسطس ونوفمبر 2025 اتصالات بخوادم القيادة والتحكم (command-and-control) في عناوين IP محددة، حيث قام المهاجمون بالتبديل بين الخوادم للحفاظ على بقائهم في الأنظمة المخترقة.
استخدم باب Chrysalis الخلفي تقنيات تهرب متقدمة لتجنب الكشف من قبل الأدوات الأمنية. وظف المهاجمون إطار عمل حماية الكود Microsoft Warbird وطرق تجزئة API مخصصة لتقليل اكتشاف برامج مكافحة الفيروسات، مع إنشاء وصول تحكم عن بعد مستمر للأنظمة المخترقة. وفي متغير حقن سكربت Lua، قام المهاجمون بنشر سكربتات خبيثة باستخدام واجهة برمجة التطبيقات EnumWindowStationsW لحقن shellcode وتوصيل برمجيات Cobalt Strike.
استهدفت الحملة كلاً من قطاعات الاستضافة السحابية، والطاقة، والمالية، والحكومية، والتصنيع، وتطوير البرمجيات عبر قارات متعددة. حدثت الاتصالات الناجحة بالخوادم الخبيثة في غضون ثوانٍ من تنزيل الحمولة الخبيثة، واستمرت الاتصالات لفترات طويلة.
من جهة أخرى، قامت Notepad++ منذ ذلك الحين بإصدار النسخة 8.9.1 التي تتضمن إجراءات أمنية معززة، مثل التحقق من الشهادات والتوقيع الرقمي للمثبتات التي يتم تنزيلها، وتوقيع XML لاستجابات خادم التحديث. كما انتقل المطورون إلى مزود استضافة جديد يتمتع بممارسات أمنية أقوى، ويخططون لفرض تحقق أكثر صرامة بدءًا من الإصدار 8.9.2.