Команда разработчиков текстового редактора Notepad++ сообщила о компрометации инфраструктуры обновлений, которая длилась с июня по декабрь 2025 года. Согласно заявлению, ответственность за атаку, вероятно, несет китайская хакерская группировка. Взлом произошел на стороне бывшего хостинг-провайдера проекта и позволил злоумышленникам перенаправлять трафик обновлений на подконтрольные им вредоносные серверы.
По данным экспертов по безопасности, атака не была массовой рассылкой вредоносного ПО. Хакеры действовали избирательно, подменяя манифесты обновлений только для определенной группы пользователей, что указывает на шпионский характер кампании. Злоумышленники сохраняли прямой доступ к серверам до проведения технических работ 2 сентября 2025 года. Однако даже после потери прямого доступа они удерживали учетные данные внутренних сервисов до 2 декабря 2025 года, что позволяло продолжать перехват трафика.
Технические аспекты взлома и принятые меры
Для реализации атаки использовалась уязвимость в эндпоинте getDownloadUrl.php, через который приложение запрашивает ссылки на загрузку. Злоумышленники возвращали URL-адреса, ведущие на скомпрометированные версии программного обеспечения. Успеху операции способствовали известные слабости в старых версиях редактора, в частности, недостаточный контроль верификации обновлений.
В ответ на инцидент проект отказался от услуг предыдущего хостинг-провайдера и перенес инфраструктуру в новую, более защищенную среду. Хостинг-провайдер произвел смену всех внутренних учетных данных. В текущей версии Notepad++ 8.8.9 уже внедрены предварительные улучшения безопасности модуля обновлений WinGup. В следующем релизе, версии 8.9.2, выход которого запланирован через месяц, будет введено строгое принудительное использование проверки сертификатов и подписей XMLDSig. Данная мера гарантирует, что ответы сервера обновлений не смогут быть изменены или перенаправлены третьими лицами.
Рекомендации для администраторов и пользователей
Пользователям, которые пытались обновить редактор в период с июня по декабрь, рекомендуется проверить свои системы, так как существует риск загрузки вредоносных бинарных файлов. Основной мерой защиты на данный момент является переход на версию Notepad++ 8.8.9или новее.
Кроме того, разработчики настоятельно советуют сбросить учетные данные для любых сервисов, которые могли быть связаны с предыдущей хостинг-средой. В этот список входят доступы к SSH, FTP и базам данных MySQL. Переход на нового провайдера с улучшенными протоколами безопасности призван минимизировать подобные риски в будущем и подчеркивает важность надежной защиты на стороне третьих лиц, обслуживающих инфраструктуру разработки.
Угрозы безопасности
• Поддельный сайт Claude AI распространяет новый Windows-бэкдор Beagle
• Хакеры внедрили бэкдор в установщики DAEMON Tools через атаку на цепочку поставок
• Bitwarden CLI в npm скомпрометирован: вредоносный пакет крал учетные данные разработчиков
• Mirai атакует устаревшие роутеры D-Link через критическую RCE-уязвимость
• Apple срочно закрыла уязвимость в iPhone – она позволяла восстанавливать удалённые сообщения Signal
• OpenAI отозвала сертификат приложений ChatGPT, Codex и Atlas для macOS – требуется обновление