Notepad++ сообщил, что его инфраструктура обновлений была скомпрометирована, предположительно, китайской государственной хакерской группой в период с июня по декабрь 2025 года. Утверждается, что взлом произошел у предыдущего хостинг-провайдера и позволил перенаправить трафик обновлений на вредоносные серверы.
По данным аналитиков безопасности, расследовавших ситуацию, злоумышленники нацелились на определенную группу пользователей для доставки скомпрометированных манифестов обновлений. Такой избирательный подход указывает на шпионскую кампанию, а не на массовое распространение вредоносного ПО.
Взлом начался на уровне хостинг-провайдера, где злоумышленники сохраняли доступ к серверам до проведения технических работ 2 сентября 2025 года. Даже после потери прямого доступа к серверам хакеры сохраняли учетные данные для внутренних служб до 2 декабря 2025 года, что позволяло им продолжать перехват трафика.
Ответственные за взлом использовали конечную точку getDownloadUrl.php для возврата URL-адресов скомпрометированных версий программного обеспечения. В ответ на это хостинг-провайдер сменил все внутренние учетные данные, а приложение Notepad++ было перемещено в другую, более защищенную серверную среду.
Если вы пытались обновить Notepad++ в период с июня по декабрь, вы могли случайно загрузить вредоносные бинарные файлы. Злоумышленники использовали известные уязвимости в старых версиях программы, такие как недостаточные средства проверки обновлений, для осуществления компрометации.
В ответ на этот инцидент Notepad++ отказался от предыдущего соглашения о совместном хостинге в пользу провайдера с улучшенными протоколами безопасности. Этот шаг подчеркивает необходимость для разработчиков убедиться, что сторонние поставщики, на которых они полагаются, также имеют надежную систему безопасности.
В последней версии Notepad++ v8.8.9 реализованы предварительные улучшения безопасности для модуля обновлений приложения WinGup. На основе этого Notepad++ выпустит версию v8.9.2 через месяц, которая будет строго применять проверку сертификатов XMLDSig и подписей. Это гарантирует, что ответы от сервера обновлений не могут быть подделаны или перенаправлены неуполномоченными лицами.
Пользователям рекомендуется убедиться, что они используют как минимум версию 8.8.9. Также следует сбросить учетные данные для любых служб, связанных с предыдущей средой хостинга, таких как SSH, FTP или базы данных MySQL.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Paul Hill
