2026년 2월 2일, **Notepad++**은 자사의 소프트웨어 업데이트 인프라가 약 6개월간 중국 기반 국가 지원 APT그룹에 의해 침해되었음을 공식적으로 밝혔습니다. 공격자는 업데이트 모듈 WinGup이 디지털 서명을 검증하지 않는 점을 악용해, 동아시아 권역의 금융 및 통신 등 특정 조직을 선별적으로 타겟팅하여 악성코드를 유포한 것으로 드러났습니다.
이는 사용자들이 신뢰하는 소프트웨어의 배포 경로가 기업 내부망 침투를 위한 공격 수단으로 악용되는 소프트웨어 공급망 공격 사례로, 단순한 악성코드 감염 피해를 넘어 관리되지 않는 외부 소프트웨어가 기업 보안 환경의 가장 치명적인 사각지대가 될 수 있음을 나타냅니다.
2026년 2월 9일, 카스퍼스키는 텔레메트리 분석 결과를 바탕으로 2025년 7~10월 기간 공격자가 C2 인프라·다운로더·최종 페이로드를 월 단위에 가깝게 교체하며 서로 다른 3개 감염 체인을 운영한 정황을 확인했다고 밝혔다. 또한 노트패드++(Notepad++) 공급망 공격의 배후 공격자는 필리핀 정부 기관, 엘살바도르 금융 기관, 베트남 IT 서비스 제공업체와 3개 국가의 개인 사용자를 표적으로 삼은 것으로 드러났다고 설명했다.
| 시간 | 주요 사건 | 세부 내용 |
|---|---|---|
| 2025년 6월 | 공격 시작 | 중국 정부 지원을 받는 것으로 추정되는 해커 그룹이 Notepad++ 공식 도메인 호스팅 서버를 침해하여 공격 시작 |
| 2025년 9월 2일 | 부분적 차단 | 호스팅 서버의 정기 점검(커널 및 펌웨어 업데이트) 과정에서 공격자들이 서버에 대한 직접적인 접근 권한을 잃음 |
| 2025년 9월 ~ 12월 | 권한 유지 및 공격 지속 | 서버 접근 권한은 잃었으나, 탈취한 내부 서비스 자격 증명을 이용해 특정 타겟 사용자의 업데이트 트래픽을 악성 서버로 리다이렉트 |
| 2025년 11월 중순 | v8.8.8 출시 | 업데이트 도구가 하이재킹되는 것을 방지하기 위해 보안을 강화한 버전 8.8.8이 출시 |
| 2025년 12월 2일 | 공격 최종 차단 | 호스팅 업체가 모든 침입 흔적을 제거하고 자격 증명을 초기화하여 공격자의 접근을 최종 차단 |
| 2025년 12월 9일 | v8.8.9 출시 | 다운로드된 설치 파일의 인증서와 서명을 검증하는 기능을 강화한 버전 8.8.9가 공식 배포 |
| 2026년 2월 2일 | 공식 사고 발표 | 개발자 Don Ho가 공식 블로그를 통해 사고 경위를 상세히 공개하고, 모든 사용자에게 최신 버전(v8.9.1 이상)으로의 업데이트를 강력히 권고 |
| Chain | 시간 | 주요 사건 | 세부 내용 |
|---|---|---|---|
| Chain #1 | 2025년 7월 말 ~ | ||
| 8월 초 | 첫 악성 업데이트 배포 | 악성 업데이트 URL 관측: http://45.76.155[.]202/update/update.exe |
|
| 2025년 7월 말 ~ | |||
| 8월 초 | 실행 기법 | 정상 소프트웨어 ProShow 악용. 일반적인 DLL 사이드로딩이 아니라 2010년대 초반 ProShow 취약점 악용 형태로 분석 | |
| 2025년 7월 말 ~ | |||
| 8월 초 | 페이로드 전개 | Metasploit downloader shellcode → Cobalt Strike Beacon. Beacon 다운로드/통신에 cdncheck.it[.]com 계열 URL 사용 |
|
| Chain #2 | 2025년 9월 중 ~ 말 | 체인 운영 및 변형 | 동일 계열 Beacon 사용하되 시스템 정보 수집 방식 등 일부 동작 변형 관측 |
| 2025년 10월 중순 | 체인 재등장 | 10월 중순 다른 업데이트 URL로 재개(인프라/전달 요소 변경) | |
| 2025년 10월 후반 | 업데이트 아티팩트 변경 | install.exe, AutoUpdater.exe 등 파일명/경로 변형 관측 |
|
| 2025년 11월 이후 | 신규 배포 관측 여부 | Kaspersky 관측 기준 2025년 11월 이후 신규 배포는 확인되지 않음 | |
| Chain #3 | 2025년 10월 초 | 체인 변경 및 새 업데이트 URL | 악성 업데이트 URL 관측: http://45.32.144[.]255/update/update.exe |
| 2025년 10월 | 실행 기법 | log.dll 사이드로딩 → BluetoothService 쉘코드 주입/실행(BluetoothService.exe) |
|
| 2025년 10월 | 최종 페이로드 | 최종 페이로드는 커스텀 Chrysalis 백도어로 설명(중국어권 위협행위자들이 자주 쓰는 패턴 언급) |