أعلن مشروع Notepad++ عن إدخال تحسينات أمنية جوهرية على آلية التحديث التلقائي ضمن الإصدار الجديد v8.9.2. تأتي هذه الخطوة استجابة لحادثة اختطاف استهدفت مسار التحديثات لدى مجموعة من المستخدمين خلال عام 2025، حيث قدم مطورو المشروع تصميماً أطلقوا عليه اسم “القفل المزدوج” (Double-Lock) لضمان سلامة التعليمات البرمجية وملفات التثبيت.
وتعتمد الفلسفة الأمنية الجديدة على تدقيق مزدوج ومستقل؛ فبدلاً من الاكتفاء بالتحقق من ملف البرنامج النهائي، بات المشروع يتعامل مع عملية التحديث كسلسلة من الخطوات التي تتطلب كل منها توثيقاً منفصلاً. ويهدف هذا الإجراء إلى منع المهاجمين من توجيه المستخدمين لتنزيل ملفات خبيثة تحت غطاء التحديثات الرسمية، حتى في حال نجاحهم في العبث بمسار الطلب الرقمي.
تقنيات التحقق في v8.9.2 وتشديد الرقابة على WinGUp
يعتمد Notepad++ في تحديثاته على مكون يُعرف باسم WinGUp، والذي يتصل بخادم المشروع (notepad-plus-plus.org) لجلب المعلومات عبر ملف بتنسيق XML. في السابق، ركز النظام على التأكد من أن ملف التثبيت يحمل توقيعاً رقمياً صحيحاً. أما الإصدار v8.9.2، فقد أضاف طبقة حماية لملف XML نفسه عبر تقنية التوقيع الرقمي XMLDSig.
ويقوم التصميم الجديد على مبدأ “التحقق المتوازي”، حيث يشترط نجاح قفلين أمنيين لإتمام العملية:
- القفل الأول: التحقق من صحة ملف XML الموقع الذي يحتوي على التعليمات والروابط.
- القفل الثاني: التحقق من توقيع ملف التثبيت الذي جرى تنزيله.
علاوة على ذلك، تضمن التحديث إجراءات تقنية لتقليص سطح الهجوم (Attack Surface)، شملت:
- إلغاء الاعتماد على libcurl.dll: للوقاية من هجمات DLL side-loading، وهي ثغرة يستغلها المهاجمون لوضع ملفات خبيثة بأسماء برمجية مألوفة ليقوم البرنامج بتشغيلها تلقائياً.
- تقييد إدارة الإضافات (Plugins): ربط صلاحيات تشغيلها بالشهادة الرقمية الخاصة بـ WinGUp لمنع تداخل مكونات غير موثوقة.
- تعزيز معايير SSL: إزالة خيارات في مكتبة cURL كانت تسمح بتخفيف قيود الأمان في الاتصالات المشفرة.
خلفيات الهجوم وارتباطه بمجموعة Lotus Blossom
كشفت التحقيقات أن التحسينات الأخيرة جاءت بعد رصد هجوم مدعوم من جهة دولية استهدف بنية التحديثات التحتية. وأكد المشروع أن الاختراق لم يمس الشفرة المصدرية لبرنامج Notepad++، بل استغل ثغرة لدى مزود استضافة سابق لإعادة توجيه طلبات التحديث نحو خوادم يسيطر عليها المهاجمون.
ونقلت تقارير بحثية، ربط الهجوم بمجموعة تجسس صينية تُعرف باسم Lotus Blossom. أعادت هذه الحادثة تسليط الضوء على مخاطر سلسلة توريد البرمجيات، حيث تكمن الخطورة في المسار الذي يسلكه البرنامج من المطور إلى المستخدم، وليس في البرنامج نفسه.
توصيات للمؤسسات والجهات التقنية
تفرض هذه التطورات على الأقسام التقنية في المؤسسات مراجعة سياسات التحديث التلقائي للبرامج الطرفية. وتتلخص المسارات المقترحة للتعامل مع هذه المخاطر في الآتي:
- التحديث الفوري: الانتقال إلى إصدار v8.9.2 عبر القنوات الرسمية، مع استخدام وسائل تحقق إضافية مثل SHA-256 في البيئات عالية الحساسية.
- الإدارة المركزية: تعطيل المحدث التلقائي في الأجهزة المؤسسية وتوزيع الحزم عبر مستودعات داخلية أو أدوات إدارة البرمجيات (مثل حزم MSI).
- الرقابة التشغيلية: مراقبة أنشطة “نقاط النهاية” (End-points) بحثاً عن سلوكيات مريبة أثناء فترات التحديث، مثل اتصالات غير مألوفة أو تكرار غير منطقي لعمليات التحميل.
