Notepad++ — популярный текстовый редактор с открытым исходным кодом — оказался в центре масштабной кибератаки. Злоумышленники, предположительно поддерживаемые государством, взломали механизм обновлений программы, чтобы распространять вредоносное ПО среди целевых пользователей.
Разработчик Дон Хо сообщил, что атака затронула инфраструктуру на уровне хостинг‑провайдера. Это позволило злоумышленникам:
перехватывать трафик обновлений, направляемый на официальный сайт notepad-plus-plus.org;
перенаправлять запросы на подконтрольные вредоносные серверы;
подменять легитимные файлы обновлений на заражённые исполняемые модули.
Точка проникновения
Взлом произошёл не через уязвимости в коде Notepad++, а на уровне хостинг‑провайдера, обслуживающего официальный сайт программы.
Механизм подмены
Злоумышленники эксплуатировали недостатки в системе проверки целостности обновлений:
инструмент WinGUp (встроенный обновлятор Notepad++) не мог надёжно верифицировать подлинность загружаемых файлов;
атакующие, перехватывая сетевой трафик, подменяли легитимные бинарные файлы на вредоносные.
Целевой характер
Перенаправление трафика осуществлялось только для определённых пользователей — атака носила избирательный характер, а не массовый.
Длительность угрозы
Инцидент начался в июне 2025 года, но стал известен лишь спустя более полугода. По данным хостинг‑провайдера:
сервер был скомпрометирован до 2 сентября 2025 года;
злоумышленники сохраняли доступ к внутренним сервисам до декабря 2025 года, продолжая перенаправлять трафик.
Миграция сайта
Официальный сайт Notepad++ перенесён на нового хостинг‑провайдера для устранения угрозы.
Расследование
Разработчик Дон Хо продолжает изучать точный механизм реализации атаки.
Публичное предупреждение
Независимый исследователь безопасности Кевин Бомонт подтвердил, что уязвимость эксплуатировалась группировками из Китая для:
компрометации корпоративных сетей;
распространения вредоносного ПО под видом обновлений.
Июнь 2025: начало атаки (перехват трафика обновлений).
Сентябрь 2025: потеря контроля над сервером хостинг‑провайдером.
Декабрь 2025: злоумышленники сохраняют доступ к внутренним сервисам.
Январь 2026: публичное раскрытие инцидента после выпуска версии 8.8.9, исправляющей проблему с перенаправлением трафика.
Доверие к open‑source: инцидент подрывает уверенность в безопасности популярных бесплатных инструментов.
Скрытность атак: злоумышленники действовали месяцами, оставаясь незамеченными.
Целевые атаки: угроза направлена на конкретных пользователей, что усложняет обнаружение.
ОбНОВИТЕ Notepad++ до последней версии (8.8.9 или новее).
Проверяйте источник обновлений: используйте только официальный сайт notepad-plus-plus.org.
Мониторинг сети: обращайте внимание на подозрительные соединения при запуске обновлятора.
Используйте антивирусы: включите сканирование загружаемых файлов.
Чтобы комментировать, зарегистрируйтесь или авторизуйтесь
Исследователи в области кибербезопасности обнародовали детали принципиально новой методики атаки — Reprompt. Она позволяет злоумышленникам извлекать конфиденциальные данные из ИИ‑чат‑ботов (в частности, из Microsoft Copilot) буквально в один клик, полностью обходя корпоративные системы защиты.
Фишинговая атака: киберпреступники распространили вредоносный PowerShell-код через ложный домен, имитирующий ресурс активации продуктов Microsoft. Незначительная ошибка в написании привела к инфицированию машин загрузчиком Cosmali Loader.
В последнее время тема виртуальных частных сетей (VPN) стала одной из наиболее обсуждаемых в российском обществе. Пользователи часто задаются вопросом, насколько легально и безопасно пользоваться такими сервисами. Рассмотрим подробнее основные моменты нового закона, вступившего в силу осенью 2025 года.