Atak na Notepad++: przez pół roku podmieniano aktualizacje

Hakerzy sponsorowani przez Chiny przejęli infrastrukturę aktualizacji Notepad++. Atak trwał od czerwca do grudnia 2025 roku i omijał sam kod aplikacji.

Twórca Notepad++ potwierdził poważny incydent bezpieczeństwa, w którym atakujący przejęli kontrolę nad ruchem aktualizacji programu. Atak nie wykorzystywał luk w kodzie Notepad++, lecz kompromitację serwera u dostawcy shared hostingu, co umożliwiło selektywne przekierowywanie użytkowników na złośliwe serwery.

Według niezależnych badaczy za kampanią stała chińska grupa APT. Atak był wysoce precyzyjny – celem była wyłącznie domena Notepad++, bez oznak masowego naruszenia innych klientów hostingu.

Dostawca potwierdził, że serwer był skompromitowany do 2 września 2025 r., a skradzione poświadczenia pozwalały na dalsze manipulowanie ruchem aż do 2 grudnia 2025 r. Po tej dacie wszystkie podatności i dostępy zostały zamknięte.

W reakcji na incydent Notepad++ zmigrował do nowego hostingu, a mechanizm aktualizacji WinGup został wzmocniony. Od wersji 8.8.9 aktualizacje są weryfikowane certyfikatem i podpisem cyfrowym, a w wersji 8.9.2 weryfikacja będzie w pełni egzekwowana.

Źródło:
Notepad++

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps