Notepad++ е бил използван за разпространяване на зловреден код от държавно спонсорирани хакерски групи.
Според автора на приложението Don Ho пробивът е на ниво хостинг инфраструктура, а не резултат от уязвимост в самия код на един от най-популярните текстови редактори за Windows.
Инцидентът е свързан с начина, по който WinGUp – ъпдейтърът на Notepad++ – проверява целостта и автентичността на изтеглените файлове. Това е позволило на атакуващите, при прихващане на мрежовия трафик, да подменят легитимния инсталатор със заразен изпълним файл. Пренасочването е било силно таргетирано и е засягало само определени потребители.
По оценка на независимия изследовател по сигурността Kevin Beaumont, експлоатацията е извършвана от заплахи, свързани с Китай, с цел компрометиране на мрежи чрез заразени актуализации. Смята се, че атаката е започнала още през юни 2025 г. и е останала незабелязана повече от шест месеца.
В отговор Notepad++ вече е мигрирал уебсайта си към нов хостинг доставчик. Според Хо, макар достъпът до компрометирания сървър да е бил прекратен през септември 2025 г., атакуващите са запазили вътрешни идентификационни данни до декември същата година, което е позволило продължаване на пренасочванията.
Препоръката ни е незабавно да се провери дали в средата са инсталирани версии, обновявани чрез WinGUp през 2025 г., да се направи антивирусен и EDR скан на машините, и при възможност — да се премине към централизирано управление на ъпдейти или ръчно изтегляне от проверени източници. За екипи с повишен риск това е и аргумент да се третира supply-chain сигурността като реален бизнес риск, а не като теоретичен сценарий.