Взлом Notepad++ — вот что произошло и как защитить свой компьютер.

• В период с июня по декабрь 2025 года аккаунт хостинг-провайдера Notepad++ был взломан.
• Злоумышленники перенаправляли трафик обновлений для пользователей встроенного средства обновления на вредоносные серверы.
• Риску подвергались только пользователи, обновлявшие систему через встроенный модуль обновления. Загрузка вручную из официальных источников была безопасной.
• Бинарные файлы приложения не были скомпрометированы. Атака использовала слабые механизмы проверки обновлений.
• Разработчики перешли на защищенный хост, стали использовать сменные учетные данные и улучшили проверку обновлений WinGup.

Notepad++, широко используемая альтернатива встроенному в Windows 11 приложению «Блокнот», подтвердила, что учетная запись ее хостинг-провайдера была взломана злоумышленниками в период с июня по декабрь 2025 года. В результате взлома злоумышленники смогли перенаправить некоторых пользователей на вредоносные серверы через скомпрометированные манифесты обновлений.

Согласно официальному заявлению , эксперты по безопасности выявили компрометацию инфраструктуры у бывшего хостинг-провайдера Notepad++. Злоумышленники использовали систему для перехвата трафика обновлений, предназначенного для notepad-plus-plus.org , и атаковали часть пользователей вредоносными файлами обновлений. Аналитики предполагают, что целенаправленный характер атаки указывает на шпионаж, а не на масштабную кампанию по распространению вредоносного ПО.

Злоумышленники первоначально сохраняли доступ к хостинг-серверам до 2 сентября 2025 года. Даже после потери прямого доступа они сохранили учетные данные внутренней службы до 2 декабря 2025 года, что позволило им продолжать перехватывать трафик обновлений. Эксплойт использовал известные уязвимости в старых версиях Notepad++, включая недостаточный контроль проверки обновлений.

Кто пострадал?

Риску подвергались только пользователи, обновившие Notepad++ через встроенное обновление в период с июня по декабрь 2025 года. Однако пользователи, загрузившие установщики вручную с официального сайта или из релизов GitHub, не пострадали .

Аналитики в области безопасности подтверждают отсутствие доказательств массового управления и контроля или широкомасштабной эксплуатации системы. Атака, по всей видимости, носила целенаправленный характер и, вероятно, была направлена ​​на конкретные организации или отдельных лиц.

Устранение неполадок и повышение уровня безопасности

По словам разработчика приложения, Notepad++ перешел на нового, более безопасного хостинг-провайдера, чтобы предотвратить будущие компрометации инфраструктуры.

Внутренние учетные данные предыдущего провайдера были обновлены, что гарантирует аннулирование любого оставшегося доступа со стороны злоумышленников.

В версии 8.8.9 программа обновления приложения WinGup была усовершенствована и теперь проверяет как сертификат, так и подпись установщика, что повышает безопасность загрузки обновлений.

Ожидается, что в ближайшие недели приложение для ведения заметок также получит версию 8.9.2, в которой будет внедрена строгая проверка сертификатов и подписей XMLDSig для всех обновлений, что дополнительно защитит пользователей от атак с подделкой или перенаправлением.

Что должны делать пользователи?

Команда Notepad++ настоятельно рекомендует всем пользователям вручную обновить программу до версии 8.9.1 или более поздней и сбросить учетные данные для всех служб, связанных с предыдущей средой хостинга, включая SSH, FTP и базы данных MySQL.

Также рекомендуется выполнить полную проверку антивирусом, если вы обновляли систему с помощью встроенного средства обновления в течение указанного периода.

Этот инцидент служит напоминанием о рисках атак на цепочки поставок и необходимости проверки подлинности источников программного обеспечения и загружаемых файлов. Даже доверенные учетные записи разработчиков могут быть взломаны, что подчеркивает важность надежной защиты хостинга и тщательной проверки обновлений.