Notepad++ DLL 하이재킹 취약점으로 인해 공격자가 악성 코드 할수 있는 취약점-CVE-2025-56383

인기 있는 소스 코드 편집기인 Notepad++에서 새롭게 발견된 DLL 하이재킹 취약점 때문에 공격자가 피해자의 컴퓨터에서 임의의 코드를 실행할 수 있습니다.
해당 취약점은 CVE-2025-56383으로 버전 Notepad++ 8.8.3에 존재하며 설치된 모든 소프트웨어 버전에 영향을 미쳐 수백만 명의 사용자를 위험에 빠뜨리는 문제입니다.
해당 취약점 공격을 통해서 로컬 공격자가 애플리케이션이 로드할 위치에 악성 DLL 파일을심어 코드를 실행할 수가 있는 문제입니다. 이러한 유형의 공격은 애플리케이션의 무결성을 손상하며 손상된 시스템에서 지속성을 확보하거나 권한을 상승시키는 데 사용될 수 있습니다.
PoC 익스플로잇 공개
DLL(동적 연결 라이브러리) 하이재킹은 Windows 애플리케이션이 필요한 라이브러리를 검색하고 로드하는 방식을 악용
애플리케이션이 전체 경로를 지정하지 않고 DLL을 검색하는 경우 미리 정의된 순서대로 여러 디렉터리를 검색할 수 있습니다.
공격자는 실제 라이브러리 위치보다 먼저 검색되는 디렉터리에 합법적인 DLL과 동일한 이름의 악성 DLL을 배치할 수 있으며 사용자가 애플리케이션을 실행하면 의도한 DLL 대신 악성 DLL이 로드되어 실행됩니다.

DLL 하이재킹

Notepad++의 경우 해당 취약점은 플러그인과 관련된 DLL을 표적으로 삼아 악용될 수 있습니다.
공격자는 다음과 같은 플러그인 파일을 대체할 수 있습니다.
NppExport.dll에 위치 Notepad++\plugins\NppExport\사용자 정의 악성 DLL이 포함된 디렉터리
탐지되지 않고 애플리케이션이 정상적으로 계속 작동하게 하려고 공격자는 원래 DLL의 이름을 바꿀 수 있으며(예: original-NppExport.dll) 그리고 악의적으로 만들어진 프로그램이 모든 합법적인 함수 호출을 전달하도록 합니다.
프록싱 이라고 불리는 해당 기술은 악성 페이로드가 백그라운드 에서 실행되는 동안에도 애플리케이션의 동작이 사용자에게 원활하게 보이도록 합니다.
예제를 통해서 다음과 같이 동작을 하는 것을 확인할 수가 있습니다.
악의적인 NppExport.dll보다 훨씬 작습니다.
original-NppExport.dll 다른 코드가 포함되어 있음을 나타냅니다.

CVE-2025-56383-Proof-of-Concept

NppExport.dll Poc

악성 파일
Notepad++.exe, 애플리케이션은 악성 DLL을 로드하여 공격자의 코드가 실행되도록 동작을 하며
테스트 메시지 상자가 나타나 임의의 코드가 Notepad++를 실행하는 사용자와 같은 권한으로 실행되었음을 확인함으로써 악용이 성공했음을 입증할 수 있습니다.
해당 취약점 탓인 주요 위협은 로컬 코드 실행
악성코드 피싱 또는 기타 수단을 통해 시스템에 초기 접근 권한을 획득한 공격자는 해당 취약점을 악용하여 지속성을 확보할 수 있습니다.
Notepad++와 같이 일반적으로 사용되는 애플리케이션에서 DLL을 하이재킹하면 공격자의 코드는 사용자가 편집기를 열 때마다 실행되어 맬웨어가 시스템을 재부팅 해도 계속 존재하게 하는 부분입니다.
npp.8.8.3.Installer.x64.exe근본적인 문제는 애플리케이션이 구성 요소를 로드하는 방식에 있으며, 이는 설치된 모든 버전이 취약할 수 있음을 이야기합니다.
현재 Notepad++ 개발자들이 CVE-2025-56383을 해결하기 위해 공식 패치를 배포하지 않았다고 하며 사용자 여러분은 각별한 주의를 기울이고 시스템에 이전 감염이 없는지 확인하는 것이 좋습니다.
시스템 관리자는 승인되지 않은 수정을 감지하기 위해 애플리케이션 디렉터리에 파일 무결성 모니터링을 구현하는 것을 고려해야 합니다.
수정판이 출시될 때까지 사용자는 공식 출처에서만 Notepad++를 다운로드해야 하며 해당 애플리케이션의 예상치 못한 동작에 주의