Популярний редактор коду Notepad++ зламано

Команда Notepad++ оголосила, що її інфраструктуру оновлень було скомпрометовано китайським хакером у період між червнем і груднем 2025 року. Проблема виникла на сайті колишнього хостинг-провайдера notepad-plus-plus.org. Маючи доступ до серверу Notepad++, кіберзлочинець перенаправляв трафік оновлень редактора коду на шкідливі сервери.

Якщо ви намагалися оновити Notepad++ між червнем і груднем минулого року, скоріше за все, ви випадково завантажили шкідливий інсталятор.

За даними експертів з кібербезпеки, хакер вибірково перехоплював запити до сервера оновлень, після чого повертав змінені маніфести з посиланнями на скомпрометовані інсталятори. Це вказує на шпигунську кампанію, а не на широкомасштабне розповсюдження шкідливого програмного забезпечення.

Витік даних розпочався на рівні хостинг-провайдера, де зловмисник мав доступ до сервера до проведення технічного обслуговування 2 вересня 2025 року. Навіть після втрати прямого доступу до сервера хакер зберігав внутрішні облікові дані сервісу до 2 грудня 2025 року, що дозволяло продовжувати перехоплення трафіку.

Для вирішення проблеми, хостинг-провайдер проекту змінив усі внутрішні облікові дані, а застосунок Notepad++ перемістили в інше, захищене серверне середовище.

Після інциденту команда Notepad++ змінила хостинг-провайдера. У Notepad++ версії 8.8.9 з’явилися покращення безпеки для оновлення програми WinGup. Спираючись на це, Notepad++ через місяць випустить версію 8.9.2, яка застосовуватиме обов’язкому перевірку сертифіката XMLDSig та підпису. Це гарантуватиме, що відповіді сервера оновлень не будуть підроблені або перенаправлені неавторизованими сторонами.