Notepad++ взломан через систему обновлений

Как следует из официального сообщения разработчика программы, сервер обновлений Notepad++ был скомпрометирован на уровне инфраструктуры хостинг-провайдера. Это позволило злоумышленникам перехватывать и перенаправлять трафик обновлений на контролируемый ими сервер, без необходимости взлома репозитория Notepad++.

Хакеры выдавали себя за официальный механизм обновления и для отдельных, «интересных» жертв отдавали поддельные манифесты, которые вели к установке зараженных версий Notepad++.

Проблема оказалась долгоиграющей: пользователи находились под угрозой почти полгода. Всё началось ещё в июне 2025-го, а окончательно выгнать хакеров удалось только 2 декабря. Сначала злоумышленники напрямую контролировали сервер, отвечающий за выдачу ссылок на обновления. В сентябре прямой доступ им закрыли, но они не ушли, а продолжили пользоваться украденными паролями от внутренних сервисов хостинга. Хотя эксперты считают, что активность хакеров затихла к середине ноября, официально «периодом риска» считается всё время с июня по декабрь.

Хостинг-провайдер подтвердил: это была не случайная массовая атака, а «снайперский» взлом. Хакеры не трогали других клиентов, их целью был исключительно домен notepad-plus-plus.org. Успех обеспечило фатальное совпадение: дыры в защите хостинга (незакрытые уязвимости и ошибки конфигурации) наложились на слабые места в старых версиях самого Notepad++. В программе просто не было надежной проверки получаемых обновлений, поэтому хакеры смогли легко подменять ссылки на скачивание и незаметно хозяйничать в системе долгие месяцы.

Создатель Notepad++ подчёркивает: почерк атаки указывает на профессиональных шпионов, вероятно, ассоциированных с правительством Китая. Это объясняет, почему атака была точечной: