Как следует из официального сообщения разработчика программы, сервер обновлений Notepad++ был скомпрометирован на уровне инфраструктуры хостинг-провайдера. Это позволило злоумышленникам перехватывать и перенаправлять трафик обновлений на контролируемый ими сервер, без необходимости взлома репозитория Notepad++.
Хакеры выдавали себя за официальный механизм обновления и для отдельных, «интересных» жертв отдавали поддельные манифесты, которые вели к установке зараженных версий Notepad++.
Проблема оказалась долгоиграющей: пользователи находились под угрозой почти полгода. Всё началось ещё в июне 2025-го, а окончательно выгнать хакеров удалось только 2 декабря. Сначала злоумышленники напрямую контролировали сервер, отвечающий за выдачу ссылок на обновления. В сентябре прямой доступ им закрыли, но они не ушли, а продолжили пользоваться украденными паролями от внутренних сервисов хостинга. Хотя эксперты считают, что активность хакеров затихла к середине ноября, официально «периодом риска» считается всё время с июня по декабрь.
Хостинг-провайдер подтвердил: это была не случайная массовая атака, а «снайперский» взлом. Хакеры не трогали других клиентов, их целью был исключительно домен notepad-plus-plus.org. Успех обеспечило фатальное совпадение: дыры в защите хостинга (незакрытые уязвимости и ошибки конфигурации) наложились на слабые места в старых версиях самого Notepad++. В программе просто не было надежной проверки получаемых обновлений, поэтому хакеры смогли легко подменять ссылки на скачивание и незаметно хозяйничать в системе долгие месяцы.
Создатель Notepad++ подчёркивает: почерк атаки указывает на профессиональных шпионов, вероятно, ассоциированных с правительством Китая. Это объясняет, почему атака была точечной: злоумышленники не пытались заразить всех подряд, а охотились за конкретными пользователями. Для них Notepad++ стал идеальной «отмычкой» - через этот популярный инструмент разработчиков они могли проникнуть в закрытые сети крупных компаний и госучреждений.
После того как взлом вскрылся, за дело взялась команда специалистов по кибербезопасности. Старый хостинг начал «генеральную уборку»: перенес данные на новые чистые серверы, закрыл дыры в защите, сменил все пароли и проверил другие системы на следы хакеров. Но создатель Notepad++ решил не испытывать судьбу дважды и просто переехал к другому провайдеру, у которого стандарты безопасности повыше :-)
Со своей стороны, сам создатель Notepad++ принёс глубочайшие извинения и поработал над механизмом обновления. Теперь программа не просто скачивает файл, а тщательно проверяет его цифровой паспорт и подпись. Более того, начиная с версии 8.9.2, эти проверки станут обязательными - если файл хоть немного подозрителен, обновление не установится. Идея проста: перестать слепо доверять хостингу или каналам связи.
Если вы или ваши сотрудники обновляли Notepad++ в период с июня по декабрь 2025 года, риск заражения вполне реален. Самое коварное здесь то, что вирус пришел через официальный канал, которому все привыкли доверять. Сейчас самое время проверить рабочие станции и убедиться, что подозрительных обновлений не было.
