هکر‌ها یک پلاگین محبوب Notepad++ را دستکاری کرده و کد مخربی را تزریق کرده‌اند که پس از اجرا، سیستم‌های کاربران را به خطر می‌اندازد.
‌
محققان مرکز اطلاعات امنیتی AhnLab (ASEC) فاش کردند که پلاگین “mimeTools.dll” که به طور گسترده مورد استفاده است، برای انجام این حمله تغییر یافته است.
‌
ادیتور Notepad++، یک ویرایشگر متن و کد منبع مورد علاقه برنامه نویسان و نویسندگان به دلیل تطبیق‌پذیری و پشتیبانی از افزونه، به شکلی ناخواسته، تبدیل به ابزاری و وسیله‌ای برای مجرمان سایبری شده است.
‌
پکیج مخرب و پکیج قانونی
پلاگین تغییر یافته “mimeTools.dll” که جز پیش‌فرض Notepad++ است، در حالی کشف شد که تحت عنوان و قالب یک پکیج قانونی ظاهر می‌شود و کاربران را برای دانلود و نصب نسخه در معرض خطر فریب می‌دهد.
‌

‌پلاگین mimeTools که به دلیل عملکرد‌های رمزگذاری مانند Base64 شناخته شده است، هنگام راه اندازی Notepad++ به طور خودکار بارگذاری می‌شود. مهاجمان با استفاده از تکنیکی به نام DLL Hijacking از این عملکرد و الگو سواستفاده کردند.
‌
وقتی Notepad++.exe راه‌اندازی می‌شود، فایل «mimeTools.dll» به‌طور خودکار بارگیری می‌شود و باعث فعال‌سازی کد مخرب تعبیه‌شده، بدون نیاز به هیچ اقدام دیگری از سوی کاربر می‌شود.
‌

‌مهاجمان به طور هوشمندانه کد مخرب Shell و کدی را برای رمزگشایی و اجرای آن در فایل “mimeTools.dll” اضافه کرده‌اند.
‌
تحقیقات ASEC فایلی به نام “certificate.pem” را در پکیج تغییریافته به‌عنوان محفظه کد پوسته مخرب نشان داد.
‌
علیرغم دستکاری صورت گرفته، عملکرد‌های اصلی افزونه دست‌نخورده باقی ماندند و فقط کد DllEntryPoint تغییر کرد. این رویکرد مخفی تضمین می‌کند که فعالیت‌های مخرب از لحظه بارگیری DLL بدون اطلاع کاربر شروع می‌شود.
‌
جریان اجرای کد مخرب با راه‌اندازی Notepad++ و بارگیری بعدی «mimeTools.dll» آغاز می‌شود.
‌
سپس DLL کد پوسته موجود در فایل “certificate.pem” را رمزگشایی و اجرا می‌کند و حمله را آغاز می‌شود.
‌
در گزارش آمده است که: “همانطور که مجرمان سایبری به تکامل تاکتیک‌های خود ادامه می‌دهند، جامعه امنیت سایبری همچنان متعهد به کشف و کاهش چنین تهدیداتی است و از تجربیات دیجیتالی کاربران محافظت می‌کند”.