По данным аналитиков по безопасности, атака носила таргетированный характер: скомпрометированные манифесты обновлений доставлялись лишь определенному подмножеству пользователей. Избирательный подход указывает скорее на кампанию кибершпионажа, чем на массовое распространение вредоносного ПО.

Хронология и технические детали

Взлом начался на уровне хостинг-провайдера, где атакующие удерживали доступ к серверам до проведения технических работ 2 сентября 2025 года. Однако даже после потери прямого доступа к серверам, хакеры сохранили учетные данные внутренних сервисов до 2 декабря 2025 года, что позволяло им продолжать перехват трафика.

Злоумышленники использовали эндпоинт getDownloadUrl.php для подмены URL-адресов, возвращая ссылки на вредоносные версии ПО. На данный момент хостинг-провайдер отозвал все внутренние учетные данные, а инфраструктура Notepad++ была мигрирована в новую, защищенную серверную среду.

Риски и векторы атаки

Пользователи, пытавшиеся обновить Notepad++ в период с июня по декабрь, могли непреднамеренно загрузить вредоносные бинарные файлы. Атакующие эксплуатировали известные уязвимости в старых версиях программы, такие как недостаточный контроль проверки обновлений.

В ответ на инцидент команда Notepad++ отказалась от услуг прежнего провайдера виртуального хостинга в пользу компании с более строгими протоколами безопасности. Этот случай подчеркивает критическую необходимость для разработчиков проверять уровень защищенности сторонних сервисов, на которые они полагаются.

Меры защиты и будущие обновления

В текущей версии Notepad++ v8.8.9 уже внедрены предварительные улучшения безопасности компонента WinGup, отвечающего за апдейты. Через месяц планируется релиз v8.9.2, в котором будет введена строгая проверка подписи и сертификатов XMLDSig. Это гарантирует, что ответы сервера обновлений не смогут быть подделаны или перенаправлены третьими лицами.

Рекомендации для пользователей:

1. Немедленно обновите приложение как минимум до версии 8.8.9.
2. Сбросьте учетные данные (пароли, SSH-ключи) для любых сервисов, связанных с прежней средой хостинга (FTP, MySQL и др.), если вы использовали их в связке с проектом.

Инцидент с Notepad++ демонстрирует, насколько критичным остаётся доверие к цепочке поставки обновлений. Даже популярные open-source-проекты могут стать точкой входа для целевых атак, если сторонняя инфраструктура оказывается недостаточно защищённой. Усиление механизмов криптографической проверки обновлений — важный, но запоздалый шаг, который должен стать стандартом для всего ПО подобного класса.