Новый сорняк в цифровом саду: хакеры используют технику binary planting

Недавно в Notepad++ версии 8.8.1 была обнаружена уязвимость CVE-2025-49144, которую злоумышленники используют для внедрения вредоносных программ. Метод атаки получил название binary planting — вредоносный файл маскируется под легитимный и «подсаживается» рядом с инсталлятором, запускаясь автоматически с максимальными правами во время установки.

Андрей Жданухин, руководитель группы аналитики L1 GSOC компании «Газинформсервис», подчеркивает важность не только своевременного обновления программного обеспечения, но и мониторинга поведения системы на предмет аномальной активности во время установки. «Учитывая популярность Notepad++ среди разработчиков и корпоративных пользователей, масштабы потенциальной угрозы могут быть впечатляюще широкими», — предупредил он.

Обновление до версии 8.8.2, выпущенной 24 июня, уже устранило эту проблему. Однако киберэксперт отмечает, что в таких случаях важен не только контроль за обновлениями, но и умение оперативно выявлять аномальные действия при установке программ.

«GSOC компании «Газинформсервис» использует комплексную телеметрию конечных точек, чтобы зафиксировать подозрительную активность — например, появление исполняемых файлов в нестандартных путях или неожиданный запуск процессов с повышенными правами. Такая поведенческая аналитика позволяет обнаружить даже целенаправленные попытки эксплуатации на ранней стадии и моментально инициировать сценарии реагирования до того, как злоумышленник получит контроль над системой», — добавил руководитель группы аналитики L1 GSOC.