Китайские хакеры взломали механизм обновления Notepad++ ради распространения малвари

Разработчики сообщили, что в 2025 году китайские «правительственные» хакеры скомпрометировали официальный механизм обновления Notepad++. Атака оставалась незамеченной с июня по декабрь и была нацелена на «отдельных пользователей».

Напомним, в конце 2025 года пользователи обнаружили, что система обновлений Notepad++ загружает вредоносные файлы вместо легитимных апдейтов. Проникавшая в систему малварь выполняла классическую разведку — собирала информацию о системе через команды netstat, systeminfo, tasklist и whoami, сохраняла результаты в файл и передавала данные на temp[.]sh (сервис для обмена текстом и файлами) с помощью curl.

Еще тогда известный ИБ-специалист Кевин Бомонт (Kevin Beaumont) предупреждал, что ему известно как минимум о трех организациях, пострадавших от атак через Notepad++. По его словам, все они имели бизнес-интересы в Восточной Азии, а вредоносная активность выглядела таргетированной.

Чтобы остановить эти атаки и снизить риски перехвата трафика, в ноябре вышла версия 8.8.8, которая загружала обновления только с GitHub. Однако этого оказалось недостаточно. Поэтому 9 декабря вышла версия 8.8.9 с более жесткой защитой: редактор не устанавливал обновление, если оно не подписано сертификатом разработчика.

Сегодня, 2 февраля 2026 года разработчик Notepad++ Дон Хо (Don Ho) рассказал о результатах проведенного расследования, к которому были привлечены внешние ИБ-специалисты и сотрудники бывшего хостинг-провайдера сайта notepad-plus-plus.org. Оказалось, что атака началась еще в июне 2025 года и осуществлялась через компрометацию инфраструктуры на уровне хостинг-провайдера. Разработчик пишет:

«Атака включала компрометацию на уровне инфраструктуры, что позволило злоумышленникам перехватывать и перенаправлять трафик обновлений, идущий на notepad-plus-plus.org. Точный технический механизм все еще изучается, но компрометация произошла на уровне хостинг-провайдера, а не через уязвимости в коде самого Notepad++. Трафик от определенных пользователей выборочно перенаправлялся на подконтрольные атакующим серверы, которые отдавали вредоносные манифесты обновлений».

Несколько независимых ИБ-экспертов пришли к выводу, что за атакой стоит некая китайская «правительственная» группировка. Это объясняет избирательность атак — злоумышленники действовали точечно, нацеливаясь на конкретных жертв.

Дон Хо рассказал, что получил детальный отчет от бывшего хостинг-провайдера. Как выяснилось, сервер хостинга, где размещался сайт с механизмом обновлений, был скомпрометирован до 2 сентября 2025 года. В этот день на сервере провели плановое обслуживание — обновили ядро и прошивку. После этого в логах перестали появляться подозрительные паттерны, что указывало на потерю доступа злоумышленниками.

Однако атакующие сохраняли доступ к внутренним сервисам провайдера вплоть до 2 декабря 2025 года. Это позволило им продолжать перенаправлять часть трафика, идущего на notepad-plus-plus.org/update/getDownloadUrl.php, на свои серверы, где жертвам предоставляли URL-адреса обновлений с вредоносными файлами. Отчет провайдера гласит:

«Основываясь на наших логах, мы не наблюдаем атак на других клиентов, размещенных на этом конкретном сервере. Злоумышленники специально искали домен notepad-plus-plus.org с целью перехватить трафик к вашему сайту, поскольку они могли знать о существовавших тогда уязвимостях, связанных с контролем верификации обновлений Notepad++».

После 2 декабря вредоносная активность окончательно прекратилась. Провайдер устранил уязвимости, которые могли использоваться для атак на Notepad++, сменил все учетные данные, которые могли получить хакеры, а также изучил логи всех серверов на предмет похожих вредоносных паттернов. Никаких признаков компрометации других систем обнаружено не было.

Дон Хо отмечает небольшое расхождение в датах: по оценке специалиста по реагированию на инциденты, атака прекратилась 10 ноября, а заявление хостера указывает, что атакующие сохраняли доступ вплоть до 2 декабря. Разработчик считает, что период компрометации все же длился с июня по декабрь 2025 года.

В настоящее время сайт Notepad++ перенесен к новому хостинг-провайдеру с более серьезными мерами безопасности. И как уже отмечалось выше, в версии 8.8.9 компонент WinGup начал проверять сертификат и подпись загружаемого установщика. Кроме того, XML-ответ, который возвращает сервер обновлений, теперь тоже подписывается (XMLDSig).

Ожидается, что в ближайший месяц будет выпущена версия 8.9.2, где проверка сертификата и подписи станет обязательной. Дон Хо рекомендует всем пользователям вручную загрузить версию 8.9.1, которая уже включает необходимые защитные меры, и установить обновление самостоятельно. Хо резюмирует:

«Я приношу глубокие извинения всем пользователям, пострадавшим от этого взлома. Благодаря внесенным изменениям и усилению защиты, я считаю, что ситуация полностью решена. Скрестим пальцы».