במשך חצי שנה ישבו תוקפים מתוחכמים על תשתיות העדכון של Notepad++ ובררו בקפידה את הקורבנות שלהם הכלי שמשמש מיליוני מפתחים בישראל ובעולם הפך לדלת אחורית עבור קבוצת ריגול מדינתית, והמקרה הזה חושף שוב את הבטן הרכה והמסוכנת של קהילת הקוד הפתוח
עבור רובנו, Notepad++ הוא אייקון ירוק ומוכר בשורת המשימות, כלי עבודה בסיסי ואמין שפשוט עושה את העבודה. אך מתחת למעטה הפשטות הזה, התחוללה בחודשים האחרונים דרמה שקטה ומסוכנת שהופכת את עורך הטקסט התמים לכלי ריגול רב-עוצמה. תחקיר מעמיק של האירועים האחרונים חושף תמונה מטרידה: החל מיוני 2025 ועד דצמבר האחרון, תשתית העדכונים של התוכנה נחטפה על ידי האקרים שפעלו בחסות מדינתית, ככל הנראה מסין, כדי להחדיר נוזקות מתוחכמות לארגונים ספציפיים ביותר. זהו לא עוד באג אקראי, אלא מתקפת שרשרת אספקה קלאסית שמדגימה בדיוק עד כמה שברירי האמון שאנחנו נותנים בכלים היומיומיים שלנו.
הצל שבתוך המנגנון
התחכום במתקפה הזו לא היה בפריצה לקוד המקור של התוכנה עצמה, אלא בהשתלטות על הצינור שמוביל אליה. התוקפים זיהו חולשה אצל ספקית האחסון של הפרויקט והצליחו ליירט את התעבורה המיועדת לשרתי העדכון. המנגנון הזדוני פעל בדיוק כירורגי: כאשר משתמש רגיל ביקש לעדכן את התוכנה, הוא קיבל את הגרסה הלגיטימית והבטוחה. אולם, כאשר המערכת זיהתה שהבקשה מגיעה מכתובת IP של ארגון יעד ספציפי – בנקים, חברות טלקום או גופים ממשלתיים – היא ניתבה את התעבורה לשרת מתחזה.
במקום העדכון הרגיל, אותם קורבנות נבחרים הורידו גרסה נגועה שהכילה את "Chrysalis", דלת אחורית (Backdoor) מתקדמת ועשירה בפיצ'רים. הנוזקה הזו אינה כלי פריצה המוני ופשוט, אלא כלי נשק סייבר המאפשר לתוקפים שליטה מלאה מרחוק על המחשב הנגוע ("Hands-on keyboard"). המשמעות היא שההאקרים יכלו לא רק לגנוב מידע, אלא ממש "לשבת" מול המסוף של המפתח בארגון המותקף, להריץ פקודות ולנוע בחופשיות בתוך הרשת הארגונית. ניתוח טכני של הנוזקה מעיד על השקעה עצומה בפיתוחה, מה שמחזק את ההערכה כי מדובר בקבוצת התקיפה המוכרת כ-"Lotus Blossom", הידועה בפעילותה נגד יעדים אסטרטגיים במזרח אסיה.
כשהקוד הפתוח פוגש מימון מדינתי
המקרה של Notepad++ מציף מחדש את הפרדוקס הגדול של עולם התוכנה המודרני. מצד אחד, מדובר בפרויקט קוד פתוח אהוב המנוהל על ידי מפתח בודד וקהילה מתנדבת, ומצד שני, הוא מהווה תשתית קריטית במיליוני ארגונים בעולם, כולל בישראל. התוקפים ניצלו בדיוק את הפער הזה. בעוד שמיקרוסופט או גוגל מחזיקות צבאות של אנשי אבטחה, פרויקטים כמו Notepad++ תלויים במשאבים דלים ובתרומות. החולשה שנוצלה כאן הייתה היעדר מנגנוני אימות חזקים מספיק בתהליך העדכון בגרסאות הישנות – פרצה שהייתה יכולה להיסגר מזמן לו היו לפרויקט המשאבים המתאימים.
התוקפים שמרו על אחיזה ברשתות הספק עד ה-2 בדצמבר 2025, גם לאחר שהחברה ניסתה לנקות את השרתים בספטמבר. זוהי עקשנות אופיינית לקבוצות APT (איום מתמשך ומתקדם), שמשאירות "עוגנים" רדומים במערכת כדי לחזור לפעולה ברגע שהשטח מתפנה. העובדה שגופים ארגוניים המשיכו להריץ גרסאות ישנות של הכלי אפשרה לתוקפים להמשיך ולנצל את מנגנון העדכון המיושן (GUP) שעבד על פרוטוקולים לא מאובטחים או עם אימות חלש, ובכך להזריק את הנוזקה ישירות ללב הארגון ללא כל התראה ממערכות ההגנה המסורתיות.
חובת ההוכחה עוברת למשתמשים
בעקבות הגילוי, מפתח התוכנה שחרר את גרסה 8.9.1 (והלאה), שמקשיחה משמעותית את תהליך העדכון. המערכת החדשה בודקת כעת קריפטוגרפית הן את החתימה הדיגיטלית של קובץ ההתקנה והן את הקובץ שמורה לתוכנה מאיפה להוריד את העדכון. זהו צעד הכרחי, אך הוא מגיע באיחור של חצי שנה עבור הקורבנות שכבר נפרצו. המעבר לספקית אחסון חדשה ומאובטחת יותר הוא צעד מבורך נוסף, אך הנזק התדמיתי והביטחוני כבר נעשה.
עבור אנשי ה-IT ומנהלי אבטחת המידע בישראל, המסר ברור וחד: אי אפשר להסתמך על מנגנוני עדכון אוטומטיים באופן עיוור, גם כשמדובר בכלים לגיטימיים ופופולריים. ארגונים המחזיקים במידע רגיש חייבים לשקול לחסום גישה לאינטרנט עבור תהליכי עדכון של כלי עזר (כמו gup.exe) או לנהל את הפצת העדכונים באופן ידני ומבוקר לאחר בדיקה בסביבת Sandbox. בעידן שבו עורך טקסט תמים יכול להפוך לסוס טרויאני בחסות מעצמה זרה, הפרנויה היא לא רק מותרות – היא כלי עבודה הכרחי"
