Зловреден код е разпространяван през компроментиран механизъм за ъпдейт на Notepad++

Notepad++ е бил използван за разпространяване на зловреден код от държавно спонсорирани хакерски групи.

Според автора на приложението Don Ho пробивът е на ниво хостинг инфраструктура, а не резултат от уязвимост в самия код на един от най-популярните текстови редактори за Windows.

Инцидентът е свързан с начина, по който WinGUp – ъпдейтърът на Notepad++ – проверява целостта и автентичността на изтеглените файлове. Това е позволило на атакуващите, при прихващане на мрежовия трафик, да подменят легитимния инсталатор със заразен изпълним файл. Пренасочването е било силно таргетирано и е засягало само определени потребители.

По оценка на независимия изследовател по сигурността Kevin Beaumont, експлоатацията е извършвана от заплахи, свързани с Китай, с цел компрометиране на мрежи чрез заразени актуализации. Смята се, че атаката е започнала още през юни 2025 г. и е останала незабелязана повече от шест месеца.

В отговор Notepad++ вече е мигрирал уебсайта си към нов хостинг доставчик. Според Хо, макар достъпът до компрометирания сървър да е бил прекратен през септември 2025 г., атакуващите са запазили вътрешни идентификационни данни до декември същата година, което е позволило продължаване на пренасочванията.

Препоръката ни е незабавно да се провери дали в средата са инсталирани версии, обновявани чрез WinGUp през 2025 г., да се направи антивирусен и EDR скан на машините, и при възможност — да се премине към централизирано управление на ъпдейти или ръчно изтегляне от проверени източници. За екипи с повишен риск това е и аргумент да се третира supply-chain сигурността като реален бизнес риск, а не като теоретичен сценарий.

Exit mobile version