Хакеры полгода взламывали организации через обновления Notepad++
Tекстовый редактор с открытым исходным кодом Notepad++ оказался в центре масштабного хакерского инцидента. Как подтвердили разработчики и независимые эксперты, серверы проекта были скомпрометированы, что позволило злоумышленникам в течение нескольких месяцев распространять вредоносные версии программы под видом официальных обновлений.
Атака, по данным расследования, началась еще в июне 2025 года и продолжалась вплоть до начала декабря и была довольно избирательной, так трафик определенных пользователей, связанных с правительственными, телекоммуникационными организациями, СМИ и объектами критической инфраструктуры, перенаправлялся на серверы злоумышленников. В итоге уязвимость была обнаружена не в коде самого Notepad++, а на уровне инфраструктуры хостинг-провайдера, где размещался официальный сайт проекта. Злоумышленники смогли получить доступ к серверу и эксплуатировать уязвимости его программного обеспечения, чтобы перехватывать запросы на обновление.
Согласно заявлению хостинг-провайдера, прямой доступ к серверу был заблокирован после обновления системы 2 сентября 2025 года, однако у атакующих до 2 декабря сохранялись учетные данные внутренних сервисов. Полностью нейтрализовать угрозу удалось только в начале декабря.
В ответ на инцидент разработчик Notepad++ Дон Хо (Don Ho) предпринял ряд срочных мер. Официальный сайт и связанная инфраструктура были перенесены к новому хостинг-провайдеру с усиленными мерами безопасности. Кроме того, в самом редакторе, начиная с версии 8.8.9, был кардинально усилен механизм проверки обновлений: теперь загружаемый установщик проверяется по цифровому сертификату и подписи, а манифест обновлений подписывается. Полная проверка будет принудительно применяться в грядущем релизе 8.9.2.
Разработчик
