Разработчики программы Notepad++ сообщили о том, что сервер обновлений программы был взломан, что позволило злоумышленникам подменять легальные обновления редактора на вредоносные. Атака не связана с уязвимостями в коде самой программы.
В настоящее время проблема устранена, специалистам удалось восстановить хронологию развития событий.
Еще в июне 2025 года злоумышленники смогли получить доступ к серверу хостинг-провайдера, на котором размещался официальный домен программы notepad-plus-plus.org. После доступа к серверу, это дало им возможность перехватывать и перенаправлять запросы на обновление Notepad++ для выборочных пользователей и перенаправлять их на свои серверы.
2 сентября 2025 на сервере было выполнено обновление системного ПО, было обновлено ядро и другие компоненты. С этого момента, согласно проанализированным логам, злоумышленники уже не могли напрямую заходить на сервер. Но до 2 декабря 2025 у них оставалась возможность удаленного доступа через украденные учетные данные. 2 декабря 2025 на стороне провайдера все уязвимости были устранены и доступ для злоумышленников был окончательно заблокирован.
После этого инцидента разработчики Notepad++ перенесли сайт к другому более безопасному провайдеру, а также усилили механизмы проверки обновлений.
Пока непонятно будут ли какие-нибудь последствия и риски для тех пользователей, которые могли загружать подменные данные, и был ли в этих данных вредоносный код. На текущий момент всем пользователям Notepad++ рекомендуется установить версию 8.9.1 или новее, в которой устранены уязвимости.
Комментарии