Notepad++, один из самых популярных и доверенных текстовых редакторов с открытым исходным кодом, оказался в эпицентре целенаправленной кибератаки. Для многих разработчиков эта программа – стандартный инструмент для быстрого редактирования кода, конфигурационных файлов и логов, и именно это сделало атаку столь критичной. Как выяснилось, хакеры скомпрометировали цепочку обновлений ИТ-продукта.
Разработчики текстового редактора Notepad++ сообщили о выявленном инциденте информационной безопасности, связанном с компрометацией хостинг-провайдера проекта. По предварительным данным, атака осуществлялась государственными хакерами APT «Lotus Blossom», предположительно действовавшими с территории Китая.
В результате компрометации злоумышленники получили возможность перехватывать трафик домена notepad-plus-plus[.]org и перенаправлять пользователей на подконтрольные им вредоносные серверы. Атака носила выборочный характер и оставалась незамеченной в период с июня по декабрь 2025 года.
Компрометация не затрагивала исходный код редактора. Основная уязвимость была обнаружена в механизме обновлений WinGUp, где отсутствовала надлежащая проверка целостности загружаемых файлов. Это позволило злоумышленникам подменять легитимные обновления вредоносным программным обеспечением. Несмотря на частичное исправление механизма в версии 8.8.9, атакующие продолжали сохранять доступ к внутренним сервисам хостинг-провайдера до конца 2025 года. Длительный период скрытности указывает на высокий уровень профессионализма атакующих и представляет серьезную проблему для классических средств защиты, не отслеживающих аномалии в поведении доверенного ПО.
В качестве дополнительных мер безопасности сайт Notepad++ был перенесен к другому хостинг-провайдеру, а в предстоящем релизе 8.9.2 будет реализована проверка цифровой подписи (XMLDSig) для XML-файлов, получаемых с сервера обновлений.
Проанализировав угрозу, эксперты УЦСБ SOC рекомендуют:
Необходимо выполнить полное удаление Notepad++, а затем переустановить из доверенного источника Notepad++ версии 8.8.9 или новее, где механизм обновления был полностью исправлен.
В случае, если ранее устанавливался корневой самоподписанный сертификат Notepad++, удалить его из хранилища доверенных сертификатов.
Проверить системные логи на наличие создания директории %localappdata%\Temp\ns.tmp, что может указывать на использование NSIS‑инсталлятора, применявшегося в атаках.
Проанализировать логи сетевого трафика и DNS‑запросов на предмет обращений к домену temp[.]sh. Любая активность к этому ресурсу требует проверки.
Проверить сетевую активность процесса gup.exe (компонент обновления Notepad++) на наличие обращений к доменам или IP‑адресам, не относящимся к официальным источникам notepad-plus-plus[.]org, github[.]com и release-assets.githubusercontent[.]com. Любые иные подключения следует рассматривать как потенциально подозрительные.
Изучить журналы событий, чтобы определить, какие файлы загружал и запускал gup.exe. Появление дочерних процессов update.exe или AutoUpdater.exe во временных каталогах пользователя расценивать как индикатор атаки.
Проверить, использовался ли в ваших системах инсталлятор NSIS, который применялся на первом этапе во всех указанных атаках; выявить это можно по системным логам, показывающим создание директории %localappdata%\Temp\ns.tmp.
Поискать в логах сетевого трафика обращения к сервисам на экзотическом домене temp[.]sh. Это очень нетипичное поведение для корпоративных систем, зато очень типичное для обращений к С2, которые использовались в данных атаках.
Проверить, обращался ли процесс gup.exe (обновлятор Notepad++) к нетипичным адресам, помимо notepad-plus-plus.org, github.com и release-assets.githubusercontent.com. Любые другие домены или IP в запросах обновления — это тревожный сигнал.
Если есть соответствующие журналы, можно проверить, что именно качал и запускал gup.exe. Появление процесса-ребенка gup.exe с именем update.exe или AutoUpdater.exe, тем более во временной папке пользователя — явный индикатор атаки.
Этот инцидент демонстрирует нарастающую угрозу атак на цепочку поставок программного обеспечения и напоминает об актуализации политик ИБ, включая механизмы обновления приложений.
