Разработчики популярного текстового редактора Notepad++ представили детальный анализ масштабного инцидента безопасности, который привел к компрометации сетевой инфраструктуры. В результате часть пользователей получала подменённые исполняемые файлы через систему автоматического обновления. Новые данные указывают на причастность к атаке государственной хакерской группировки.
Инцидент стал возможен из-за взлома сервера совместного хостинга, на котором до декабря 2025 года размещался официальный сайт проекта notepad-plus-plus.org. По данным расследования, проведённого при участии внешних экспертов по безопасности, злоумышленники получили доступ к инфраструктуре ещё в июне 2025 года. В частности, они могли выборочно перенаправлять трафик определённых пользователей, адресованный скрипту обновлений, на свои серверы.
Согласно заявлению бывшего хостинг-провайдера, прямой доступ к серверу был заблокирован после планового обновления ядра и прошивки 2 сентября 2025 года. Однако у атакующих сохранились учетные данные для подключения к внутренним сервисам. Это позволило им продолжать манипуляции с трафиком обновлений Notepad++ вплоть до 2 декабря 2025 года. Провайдер подчеркнул, что целью злоумышленников был исключительно домен Notepad++, что свидетельствует о целенаправленном характере операции.
Независимые эксперты по кибербезопасности, изучившие методы атаки и её продолжительность, пришли к выводу о высокой вероятности участия в инциденте китайской государственной группировки. Эта оценка объясняет избирательный таргетинг, наблюдавшийся в ходе кампании. Атакующие, судя по всему, знали о существовавших в старых версиях редактора уязвимостях, связанных с недостаточным контролем верификации обновлений.
После обнаружения подмены обновлений 2 декабря доступ злоумышленников был окончательно заблокирован. В качестве ответных мер сайт Notepad++ был полностью перенесен к другому хостинг-провайдеру, который предъявляет более строгие требования к безопасности. Разработчики также существенно усилили защиту в самом программном обеспечении.
Начиная с версии 8.8.9, система обновлений WinGUp выполняет обязательную проверку не только цифровых подписей, но и сертификатов для загружаемых файлов. Кроме того, теперь реализована блокировка установки обновления при неудачной проверке. В ожидаемом в течение месяца выпуске версии 8.9.2 будет добавлена дополнительная проверка цифровой подписи для XML-манифеста с использованием стандарта XMLDSig.
Ведущий разработчик Notepad++ принёс извинения всем пользователям, пострадавшим от этой атаки. Он заявил, что с внедрёнными изменениями и усилением инфраструктуры ситуация полностью разрешена. Тем не менее, этот случай служит серьёзным напоминанием о рисках, связанных с использованием общих хостинговых платформ для распространения критического программного обеспечения с большим количеством пользователей.
