Dezvoltatorul Notepad++, unul dintre cele mai populare editoare de text open-source din lume, a confirmat în această săptămână că atacatori sponsorizați de state au deturnat mecanismul de actualizare al software-ului timp de aproximativ șase luni în 2025, redirecționând selectiv anumiți utilizatori către servere malițioase care livrau fișiere executabile compromise.
Dezvoltatorul Don Ho a dezvăluit într-o declarație oficială pe 2 februarie că atacul “a implicat o compromitere la nivel de infrastructură care a permis actorilor malițioși să intercepteze și să redirecționeze traficul de actualizare destinat notepad-plus-plus.org.” Compromiterea a avut loc la nivelul furnizorului de hosting, nu prin vulnerabilități din codul Notepad++ în sine, conform investigației.
Cronologia atacului
Compromiterea lanțului de aprovizionare a început în iunie 2025, când actorii amenințători au obținut acces la serverul de hosting partajat al Notepad++. Conform declarației furnizorului de hosting distribuite de Ho, serverul a rămas compromis până la 2 septembrie 2025, când actualizările programate ale kernelului și firmware-ului au întrerupt accesul direct al atacatorilor.
Cu toate acestea, atacatorii obținuseră deja credențiale interne, permițându-le să continue redirecționarea traficului de actualizări Notepad++ până la 2 decembrie 2025. Cercetătorul în securitate Kevin Beaumont a ridicat pentru prima dată îngrijorări la începutul lunii decembrie, după ce a aflat despre trei organizații care experimentaseră incidente de securitate atribuite proceselor Notepad++.
„Am vorbit doar cu un număr mic de victime. Sunt organizații cu interese în Asia de Est. Activitatea pare foarte țintită”, a declarat Beaumont la acea vreme. El a identificat victimele ca fiind organizații din sectorul telecomunicațiilor și serviciilor financiare și a atribuit atacurile actorilor amenințători din partea statului chinez Zirconium, cunoscuți și sub numele de Violet Typhoon.
Mai mulți cercetători independenți în domeniul securității au evaluat că actorul amenințător este probabil un grup sponsorizat de statul chinez, a confirmat Ho, ceea ce ar explica țintirea extrem de selectivă observată în timpul campaniei.
Cum a funcționat atacul
Atacatorii au exploatat vulnerabilități în sistemul de actualizare al Notepad++, WinGUp, care anterior versiunii 8.8.8 nu valida în mod adecvat sursa sau integritatea actualizărilor descărcate. Prin compromiterea infrastructurii de hosting, atacatorii au putut manipula răspunsurile de la endpoint-ul getDownloadUrl.php pentru a livra programe de instalare malițioase către utilizatori țintă.
„Actorii rău intenționați au căutat în mod specific domeniul notepad-plus-plus.org cu scopul de a intercepta traficul către site-ul dvs., deoarece ar fi putut cunoaște vulnerabilitățile Notepad++ existente la acel moment, legate de controalele insuficiente de verificare a actualizărilor”, a declarat furnizorul de hosting.
Răspuns și remediere
Notepad++ a lansat versiunea 8.8.8 la mijlocul lunii noiembrie 2025, restricționând actualizările exclusiv la descărcările de pe GitHub. Versiunea 8.8.9 a urmat pe 9 decembrie, adăugând verificarea certificatului și a semnăturii pentru programele de instalare descărcate. Viitoarea versiune 8.9.2, așteptată în aproximativ o lună, va impune o verificare mai strictă, fără opțiuni de ocolire.
Site-ul web Notepad++ a fost migrat la un nou furnizor de găzduire „cu practici de securitate semnificativ mai puternice”, a declarat Ho.
„Îmi cer sincer scuze tuturor utilizatorilor afectați de această deturnare”, a scris Ho. „Cu aceste schimbări și consolidări, cred că situația a fost complet rezolvată.”
Beaumont a lăudat răspunsul, scriind pe Mastodon: „Dezvoltatorul Notepad++ a făcut o treabă grozavă tratând problema în mod serios.”
Surse:
https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.theregister.com/2026/02/02/notepad_plusplus_intrusion/