Popularna aplikacja padła ofiarą hakerów. Aktualizacje były złośliwe

Twórca Notepad++ opublikował kolejne szczegóły dotyczące poważnego incydentu bezpieczeństwa, który dotknął użytkowników edytora w 2025 roku. Przeprowadzono pogłębione śledztwo we współpracy z zewnętrznymi ekspertami ds. bezpieczeństwa oraz z udziałem byłego dostawcy hostingu. Z ustaleń specjalistów wynika, że atak nie wykorzystywał luk w samym kodzie aplikacji, lecz miał charakter infrastrukturalny.

Za atakiem stał chiński aparat państwowy

Przejęcie środowiska po stronie hostingu umożliwiło napastnikom przechwytywanie i przekierowywanie ruchu związanego z aktualizacjami. W praktyce oznaczało to, że wybrani użytkownicy byli selektywnie odsyłani do serwerów kontrolowanych przez atakujących. Mechanizm techniczny takiego działania wciąż jest analizowany.

Pierwsze ślady kompromitacji sięgają czerwca 2025. Z przekazanego oświadczenia wynika, że serwer pozostawał przejęty do 2 września 2025 roku. Co więcej, nawet po utracie bezpośredniego dostępu do serwera atakujący zachowali ważne poświadczenia do wewnętrznych usług aż do 2 grudnia 2025, co pozwalało im nadal manipulować ruchem aktualizacji.

Niezależni badacze bezpieczeństwa, którzy analizowali kampanię, wskazują z dużym prawdopodobieństwem na grupę powiązaną z chińskim aparatem państwowym. Tłumaczyłoby to bardzo precyzyjne i ograniczone targetowanie ofiar, niespotykane w masowych akcjach cyberprzestępczych.

Zmieniono hosting i wzmocniono zabezpieczenia aplikacji

W odpowiedzi na incydent strona Notepad++ została przeniesiona do nowego dostawcy hostingu, oferującego znacznie wyższe standardy bezpieczeństwa. Równolegle w samym programie wprowadzono istotne zmiany. Aktualizator został rozbudowany o weryfikację zarówno certyfikatu, jak i podpisu instalatora. Dodatkowo dane XML zwracane przez serwer aktualizacji są obecnie podpisywane cyfrowo przy użyciu XMLDSig.