Notepad++ 遭流量劫持，更新程序被植入恶意程序

2025-12-11 00:50 by 哈尔的移动城堡

Notepad++ 发布安全警告，它遭遇了流量劫持，部分地区的更新程序被植入恶意程序。调查发现，Notepad++ 更新程序 WinGUp 的流量被劫持到恶意服务器，下载恶意可执行文件。更新程序使用版本检查功能查询 URL“https://notepad-plus-plus.org/update/getDownloadUrl.php”并评估返回的 XML 文件。更新程序使用 XML 文件中列出的 Download-URL，将文件保存到 %TEMP% 文件夹并执行。任何能拦截和篡改此流量的攻击者都可以更改 Download-URL。Notepad++ v8.8.7 前它使用了自签名证书，允许攻击者创建篡改后的更新并将其推送给受害者。从 v8.8.7 开始 Notepad++ 使用了来自 GlobalSign 签发的合法证书进行签名。

https://notepad-plus-plus.org/news/v889-released/
https://www.heise.de/news/Notepad-Updater-installierte-Malware-11109571.html

#安全

俄罗斯勒索软件组织用明文储存主密钥

2025-12-13 17:18 by 外星人

亲俄罗斯黑客组织 CyberVolk 在沉寂数月之后推出了基于 Telegram 的勒索软件即服务 CyberVolk 2.x(aka VolkLocker)。基于 Telegram 的服务降低了准入门槛，但好消息是开发者在测试程序时失误，导致主密钥硬编码在可执行文件中。这意味着受害者无需支付赎金就能解密被加密的文件。VolkLocker 不会动态生成加密密钥，硬编码的主密钥以明文写入 %TEMP% 文件夹。勒索软件被发现使用 AES-256-GCM(Galois/Counter Mode)对文件进行加密。

https://www.theregister.com/2025/12/11/cybervolk_ransomware_is_back/
https://www.sentinelone.com/blog/cybervolk-returns-flawed-volklocker-brings-new-features-with-growing-pains/?

#安全