নোটপ্যাড++ সম্প্রতি একটি “ডাবল-লক” ডিজাইন গ্রহণ করেছে তার আপডেট মেকানিজমের জন্য একটি শোষিত নিরাপত্তা ব্যবধান যাতে সাপ্লাই-চেইন সমঝোতা হয়।
নতুন মেকানিজম নোটপ্যাড++ সংস্করণ 8.9.2 এ অবতরণ করেছে, গতকাল ঘোষণা করা হয়েছে, যদিও এটির উপর কাজ শুরু হয়েছে 8.8.9 সংস্করণে GitHub থেকে স্বাক্ষরিত ইনস্টলারদের যাচাইকরণের মাধ্যমে।
ডাবল-লক সিস্টেমের দ্বিতীয় অংশ হল স্বাক্ষরিত XML চেক করা। notepad-plus-plus.org কর্মক্ষেত্র। অনুশীলনে, এর মানে হল যে আপডেট পরিষেবা থেকে ফিরে আসা XML ফাইলটি ডিজিটালি স্বাক্ষরিত (XMLDSig)।
ব্যাপকভাবে জনপ্রিয় ওপেন-সোর্স টেক্সট এবং সোর্স কোড এডিটরের পিছনের দলটি বলেছে যে দুটি যাচাইকরণ প্রক্রিয়ার সংমিশ্রণ একটি আরও শক্তিশালী “এবং কার্যকরভাবে অ-পরীক্ষিত” আপডেট প্রক্রিয়াকে যোগ করে।
অটো-আপডেটারে প্রয়োগ করা অতিরিক্ত নিরাপত্তা-ভিত্তিক পরিবর্তনগুলির মধ্যে রয়েছে:
- অপসারণ libcurl.dll DLL সাইড-লোডিং ঝুঁকি দূর করতে
- দুটি অনিরাপদ কার্ল SSL বিকল্পগুলি সরানো হচ্ছে: CURLSSLOPT_ALLOW_BEAST এবং CURLSSLOP_NO_REVOKE
- WinGup এর মতো একই শংসাপত্রের সাথে স্বাক্ষরিত প্রোগ্রামগুলির জন্য প্লাগইন পরিচালনা সম্পাদনের সীমাবদ্ধতা
নতুন ঘোষণায় আরও বলা হয়েছে যে ব্যবহারকারীরা UI ইনস্টলেশনের সময় স্বয়ংক্রিয়-আপডেটারগুলি বাদ দিতে পারে বা MSI প্যাকেজ স্থাপন করতে পারে: msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1
.jpg)
সূত্র: নোটপ্যাড++
এই মাসের শুরুর দিকে, Notepad++ এবং Rapid7 গবেষকরা প্রকাশ করেছেন যে লোটাস ব্লসম, চীনের সাথে যুক্ত একটি হুমকি গোষ্ঠীর ছয় মাসব্যাপী প্রচারাভিযানে আপডেট অবকাঠামোর সাথে আপস করা হয়েছে।
জুন 2025 থেকে শুরু করে, একজন খারাপ অভিনেতা নোটপ্যাড++ আপডেটার চালানোর একটি হোস্টিং প্রদানকারীর সাথে আপোস করেছেন এবং নির্দিষ্ট ব্যবহারকারীদের থেকে দূষিত সার্ভারে আপডেটের অনুরোধগুলি বেছে বেছে পুনর্নির্দেশ করেছেন।
আক্রমণগুলি সফ্টওয়্যারটির পুরানো সংস্করণগুলিতে ব্যবহৃত দুর্বল আপডেট যাচাইকরণ নিয়ন্ত্রণগুলির সুবিধা নিয়েছিল এবং 2 ডিসেম্বর, 2025 এ তাদের আবিষ্কার পর্যন্ত অব্যাহত ছিল।
Rapid7-এর বিশ্লেষণে দেখা গেছে যে চীনা হ্যাকাররা আক্রমণের সিরিজের অংশ হিসেবে “Chrysalis” নামক একটি কাস্টম ব্যাকডোর ব্যবহার করেছে।
নতুন প্রবর্তিত নিরাপত্তা ব্যবস্থা ছাড়াও, প্রকল্পটি অবিলম্বে একটি ভিন্ন হোস্টিং প্রদানকারীর কাছে স্যুইচ করেছে, আবিষ্কৃত আক্রমণগুলিতে ব্যবহৃত শংসাপত্রগুলি ঘোরানো হয়েছে এবং নির্দিষ্ট ত্রুটিগুলি রয়েছে৷
সমস্ত Notepad++ ব্যবহারকারীদের জন্য প্রস্তাবিত পদক্ষেপ হল সংস্করণ 8.9.2-এ আপগ্রেড করা, এবং নিশ্চিত করা যে ইনস্টলাররা সর্বদা অফিসিয়াল ডোমেন, notepad-plus-plus.org থেকে ডাউনলোড করা হয়।
আধুনিক আইটি অবকাঠামো ম্যানুয়াল ওয়ার্কফ্লোগুলির চেয়ে দ্রুত চলে।
এই নতুন Tynes গাইডে, শিখুন কিভাবে আপনার দল লুকানো ম্যানুয়াল বিলম্ব কমাতে পারে, স্বয়ংক্রিয় প্রতিক্রিয়াগুলির মাধ্যমে নির্ভরযোগ্যতা উন্নত করতে পারে এবং আপনি ইতিমধ্যেই যে সরঞ্জামগুলি ব্যবহার করছেন তার উপরে বুদ্ধিমান ওয়ার্কফ্লো তৈরি এবং স্কেল করতে পারে৷
