이는 Kaspersky의 Global Research and Analysis Group (GReAT) 전문가의 최신 발견입니다. 이에 따르면 Notepad++ 공급망 침해 사건(많은 사용자가 선호하는 무료 소스 코드 편집기)으로 인한 공격 체인에는 베트남의 정보 기술 서비스 제공업체, 필리핀의 기관, 엘살바도르의 금융 기관 및 3개국의 다른 많은 개인 사용자가 포함됩니다. 공격 그룹은 이전에 기록된 적이 없는 두 개의 감염 체인을 포함하여 최소 세 개의 다른 감염 체인을 배포했습니다.
모니터링 과정에서 사이버 보안 전문가들은 해커 그룹이 공격 도구 세트를 지속적으로 변경하고 업그레이드하는 것을 확인했습니다. 2025년 7월부터 10월까지 악성 코드, 제어 서버 인프라(C&C) 및 배포 방법이 거의 매달 변경되어 공격자의 투자 수준과 적응력이 매우 높다는 것을 보여줍니다. 따라서 이전에 발표된 공격 시리즈는 실제로 훨씬 더 길고 복잡한 작전의 일부일 뿐입니다.
2026년 2월 초 Notepad++ 개발자는 스토리지 서비스 제공업체의 문제로 인해 업데이트 인프라가 침해되었다고 밝혔습니다. 이전 공개 보고서는 2025년 10월에 발견된 악성 소프트웨어에만 초점을 맞추어 조직이 7월부터 9월까지 사용된 다른 침해 징후에 대해 알지 못하게 했습니다.
각 공격 체인은 서로 다른 악성 IP 주소, 도메인 이름 및 악성 코드 활성화 방법을 사용합니다. 따라서 10월에 기록된 침입 지표 세트를 기반으로 시스템을 검토한 조직은 이전 감염 사례를 완전히 놓쳤을 가능성이 있습니다. Kaspersky의 솔루션은 발생 시점에 확인된 모든 공격을 감지하고 차단했습니다.
Kaspersky의 글로벌 분석 및 연구 그룹의 보안 전문가인 Georgy Kucherin은 "7월부터 9월까지 공격 그룹이 사용한 인프라는 IP 주소, 도메인 이름에서 파일 해시 코드에 이르기까지 완전히 다릅니다. 이러한 도구를 번갈아 가며 변경함에 따라 아직 발견되지 않은 다른 공격 시퀀스가 있을 가능성을 배제할 수 없습니다."라고 말했습니다.
Kaspersky의 사이버 보안 전문가들은 또한 악성 업데이트의 해시 코드 6개, 제어 서버 URL(C&C) 14개, 이전에 기록된 적이 없는 악성 파일의 해시 코드 8개를 포함한 전체 침입 지표 목록을 발표했습니다.
