Команда разработчиков текстового редактора Notepad++ сообщила о компрометации инфраструктуры обновлений, которая длилась с июня по декабрь 2025 года. Согласно заявлению, ответственность за атаку, вероятно, несет китайская хакерская группировка. Взлом произошел на стороне бывшего хостинг-провайдера проекта и позволил злоумышленникам перенаправлять трафик обновлений на подконтрольные им вредоносные серверы.
По данным экспертов по безопасности, атака не была массовой рассылкой вредоносного ПО. Хакеры действовали избирательно, подменяя манифесты обновлений только для определенной группы пользователей, что указывает на шпионский характер кампании. Злоумышленники сохраняли прямой доступ к серверам до проведения технических работ 2 сентября 2025 года. Однако даже после потери прямого доступа они удерживали учетные данные внутренних сервисов до 2 декабря 2025 года, что позволяло продолжать перехват трафика.
Технические аспекты взлома и принятые меры
Для реализации атаки использовалась уязвимость в эндпоинте getDownloadUrl.php, через который приложение запрашивает ссылки на загрузку. Злоумышленники возвращали URL-адреса, ведущие на скомпрометированные версии программного обеспечения. Успеху операции способствовали известные слабости в старых версиях редактора, в частности, недостаточный контроль верификации обновлений.
В ответ на инцидент проект отказался от услуг предыдущего хостинг-провайдера и перенес инфраструктуру в новую, более защищенную среду. Хостинг-провайдер произвел смену всех внутренних учетных данных. В текущей версии Notepad++ 8.8.9 уже внедрены предварительные улучшения безопасности модуля обновлений WinGup. В следующем релизе, версии 8.9.2, выход которого запланирован через месяц, будет введено строгое принудительное использование проверки сертификатов и подписей XMLDSig. Данная мера гарантирует, что ответы сервера обновлений не смогут быть изменены или перенаправлены третьими лицами.
Рекомендации для администраторов и пользователей
Пользователям, которые пытались обновить редактор в период с июня по декабрь, рекомендуется проверить свои системы, так как существует риск загрузки вредоносных бинарных файлов. Основной мерой защиты на данный момент является переход на версию Notepad++ 8.8.9 или новее.
Кроме того, разработчики настоятельно советуют сбросить учетные данные для любых сервисов, которые могли быть связаны с предыдущей хостинг-средой. В этот список входят доступы к SSH, FTP и базам данных MySQL. Переход на нового провайдера с улучшенными протоколами безопасности призван минимизировать подобные риски в будущем и подчеркивает важность надежной защиты на стороне третьих лиц, обслуживающих инфраструктуру разработки.
Угрозы безопасности
• Разработчики Notepad++ подтвердили взлом серверов обновлений
• Злоумышленники распространяли вредоносное ПО через сервер обновлений антивируса eScan
• Сбой в pCloud: пользователи видят чужие папки в своих аккаунтах
• Уязвимость обхода путей в WinRAR активно используется множеством хакеров
• Новый MaaS-сервис Stanley обещает обход модерации Chrome Web Store для фишинговых расширений
• Пользователей LastPass атакуют фишинговыми письмами под видом техподдержки