Хакеры использовали Notepad++ для распространения вредоносных обновлений
Взлом повлиял на пользователей по всему миру
Разработчик известного open-source текстового редактора Notepad++ сообщил, что хакеры использовали программное обеспечение для доставки вредоносных обновлений нескольким пользователям на протяжении нескольких месяцев в 2025 году.
В блоге, опубликованном в понедельник, Дон Хо рассказал, что кибератака, вероятно, была организована хакерами, связанными с китайским правительством в период с июня по декабрь 2025 года. Такое предположение было сделано на основе анализа, проведенного экспертами по безопасности, и оно объясняет высоко избирательный характер атак.
Хо не сообщил, сколько пользователей подверглись атаке или были скомпрометированы, если эти данные известны, и не ответил на запросы к моменту публикации. Если появится дополнительная информация, она будет добавлена.
Notepad++ является одним из старейших open-source проектов, который существует более двух десятилетий и насчитывает десятки миллионов загрузок по всему миру, в том числе среди сотрудников крупных организаций.
По словам Кевина Бомонта, исследователя в области безопасности, который первым обнаружил кибератаку, хакеры получили контроль над небольшим числом организаций с интересами в Восточной Азии после случайного использования зараженной версии программного обеспечения. Эти злоумышленники получили доступ к компьютерам жертв, использовавших взломанные версии Notepad++.
Технический механизм взлома серверов Notepad++ пока остается под расследованием. Однако известно, что сайт Notepad++ размещался на сервере общего хостинга, и хакеры специально нацелились на веб-домен Notepad++ с целью эксплуатации уязвимости в ПО для перенаправления некоторых пользователей на вредоносный сервер. Это позволяло доставлять вредоносные обновления, пока уязвимость не была устранена в ноябре, а доступ хакеров не закончился в начале декабря.
«У нас есть логи, указывающие на то, что злоумышленник пытался снова воспользоваться одной из исправленных уязвимостей; однако эта попытка не увенчалась успехом после внедрения исправления,» — написал Хо.
Хо извинился за инцидент и призвал пользователей скачать последнюю версию его ПО, содержащую исправление.
Кибератака на пользователей Notepad++ в некоторой степени напоминает атаку 2019-2020 годов на клиентов SolarWinds, компании по производству инструментов для управления IT и сетями для крупных организаций. Тогда российские хакеры взломали серверы компании и внедрили бэкдор в её программное обеспечение, что позволило шпионам получить доступ к данным клиентов после обновления.
Взлом SolarWinds затронул ряд госагентств, включая Министерство внутренней безопасности, Министерства торговли, энергетики, юстиции и государства.
