Notepad + + exploatat pentru a injecta cod malițios

Persoanele rău intenționate au exploatat un plugin popular al Notepad + +, injectând un cod malițios care compromite sistemele utilizatorilor în momentul execuției.

Specialiștii în securitate cibernetică au descoperit că plugin-ul mimeTools.dll, a fost modificat pentru a efectua atacul.

Notepad++, un editor de text și de cod sursă preferat de programatori pentru versatilitatea sa și pentru suportul pentru plugin-uri, a devenit țintă pentru persoanele rău intenționate.

Plugin-ul mimeTools, cunoscut pentru funcțiile sale de codificare precum Base64, este încărcat automat la lansarea Notepad++. Atacatorii au exploatat acest plugin folosind o tehnică cunoscută sub numele de DLL Hijacking.

Atunci când Notepad++.exe este rulat, fișierul mimeTools.dll este încărcat automat, declanșând activarea codului malițios, fără nicio altă acțiune din partea utilizatorului.

Atacatorii au adăugat un cod malițios criptat și codul pentru decriptarea și executarea acestuia în fișierul mimeTools.dll.

Analiza specialiștilor a identificat un fișier numit certificate.pem în cadrul pachetului modificat ca fiind sursa codului malițios.

În ciuda manipulării, funcționalitățile originale ale plugin-ului au rămas intacte, doar codul DllEntryPoint fiind modificat.

Această abordare asigură faptul că activitățile malițioase încep în momentul în care fișierul DLL este rulat, fără ca utilizatorul să știe.

Sursă: https://cybersecuritynews.com/hackers-hijacked-notepad-plugin/