Серверы обновления Notepad++ были взломаны для перенаправления пользователей на вредоносные ресурсы

Notepad++, один из самых популярных и доверенных текстовых редакторов с открытым исходным кодом, оказался в эпицентре целенаправленной кибератаки. Для многих разработчиков эта программа – стандартный инструмент для быстрого редактирования кода, конфигурационных файлов и логов, и именно это сделало атаку столь критичной. Как выяснилось, хакеры скомпрометировали цепочку обновлений ИТ-продукта.

Разработчики текстового редактора Notepad++ сообщили о выявленном инциденте информационной безопасности, связанном с компрометацией хостинг-провайдера проекта. По предварительным данным, атака осуществлялась государственными хакерами APT «Lotus Blossom», предположительно действовавшими с территории Китая.

В результате компрометации злоумышленники получили возможность перехватывать трафик домена notepad-plus-plus[.]org и перенаправлять пользователей на подконтрольные им вредоносные серверы. Атака носила выборочный характер и оставалась незамеченной в период с июня по декабрь 2025 года.

Компрометация не затрагивала исходный код редактора. Основная уязвимость была обнаружена в механизме обновлений WinGUp, где отсутствовала надлежащая проверка целостности загружаемых файлов. Это позволило злоумышленникам подменять легитимные обновления вредоносным программным обеспечением. Несмотря на частичное исправление механизма в версии 8.8.9, атакующие продолжали сохранять доступ к внутренним сервисам хостинг-провайдера до конца 2025 года. Длительный период скрытности указывает на высокий уровень профессионализма атакующих и представляет серьезную проблему для классических средств защиты, не отслеживающих аномалии в поведении доверенного ПО.

В качестве дополнительных мер безопасности сайт Notepad++ был перенесен к другому хостинг-провайдеру, а в