Хакеры взломали текстовый редактор Notepad++ и полгода распространяли вирусы через обновления

Разработчики Notepad++ сообщили, что в 2025 году китайские «правительственные» хакеры скомпрометировали официальный механизм обновления текстового редактора.

Атака оставалась незамеченной с июня по декабрь и была нацелена на отдельных пользователей. Проникавшая в систему вредоносная программа собирала информацию через команды netstat, systeminfo, tasklist и whoami, сохраняла результаты в файл и передавала данные на специализированный сервис с помощью curl.

2 февраля 2026 года разработчик Notepad++ Дон Хо рассказал о результатах расследования, к которому привлекли внешних специалистов по информационной безопасности.

Выяснилось, что атака началась в июне 2025 года и осуществлялась через компрометацию инфраструктуры на уровне хостинг-провайдера сайта notepad-plus-plus.org. Злоумышленники перехватывали и перенаправляли трафик обновлений на подконтрольные серверы, которые отдавали вредоносные манифесты. Несколько независимых экспертов пришли к выводу, что за атакой стоит китайская «правительственная» группировка, действовавшая избирательно и нацеленная на конкретных жертв с бизнес-интересами в Восточной Азии.

Сервер хостинга был скомпрометирован до 2 сентября 2025 года, когда провели плановое обслуживание системы. Однако атакующие сохраняли доступ к внутренним сервисам провайдера до 2 декабря, продолжая перенаправлять трафик на свои серверы.

Сейчас сайт Notepad++ перенесён к новому хостинг-провайдеру с усиленными мерами безопасности. В версии 8.8.9 добавлена обязательная проверка сертификата и подписи обновлений, а в ожидаемой версии 8.9.2 эта проверка станет ещё строже. Разработчик рекомендует всем пользователям вручную загрузить и установить версию 8.9.1 с необходимыми защитными мерами.