Notepad++ взломан: китайские хакеры полгода подменяли обновления

Notepad++ пережил редкий для открытого ПО сценарий - выборочную атаку на цепочку обновлений (Supply Chain). С июня по декабрь 2025 года злоумышленники распространяли отдельным пользователям зараженные сборки редактора. Автор проекта Дон Хо (Don Ho) опубликовал разбор и хронологию, а независимые специалисты, изучавшие инцидент, пришли к выводу, что за операцией стоит группа из Китая, связанная с государством.

Как устроили подмену

Атаковали не сам Notepad++ и не его исходный код. Точка входа была в инфраструктуре хостинг-провайдера, где размещался сайт notepad-plus-plus.org. Злоумышленники получили доступ к серверу провайдера и научились перехватывать запросы на обновление. Дальше схема выглядела цинично просто: часть пользователей вместо легитимного обновления перенаправляли на свои серверы, где лежали вредоносные версии.

Это важная деталь для тех, кто привык думать про массовые кампании. Здесь подмена была выборочной. Взломщики не пытались заразить всех, им нужны были конкретные цели. Провайдер позже сообщил, что злоумышленники целенаправленно искали домен notepad-plus-plus.org среди всех размещенных сайтов. Другие проекты на том же сервере не пострадали.

Почему выбор пал на Notepad++

Причина оказалась в старой логике обновлений. Механизм проверки был недостаточно строгим: если обновление приходило с правильного ответа сервера, клиент его принимал. Для атакующего это идеальные условия. Достаточно контролировать, куда уходит запрос, и можно подменить файл, не взламывая сам продукт.

Хронология атаки:

• Июнь 2025: Компрометация сервера провайдера, старт операции.
• 2 сентября 2025: Провайдер провел плановое обновление ПО оборудования. Прямой доступ злоумышленники потеряли.
• Сентябрь–декабрь 2025: Атака продолжилась. У хакеров остались украденные учетные данные к внутренним сервисам провайдера, что позволяло им по-прежнему перенаправлять трафик обновлений.
• 2 декабря 2025: Инцидент обнаружен, все креды сброшены, клиенты мигрировали на новые серверы. Атака остановлена.

Дон Хо (Don Ho) извинился перед пользователями и описал изменения. Сайт переехал к новому хостинг-провайдеру с более строгими требованиями к безопасности. Главное - изменили модуль обновления WinGup. В версии 8.8.9 добавили проверку цифровой подписи и сертификата у загружаемых файлов. Также теперь подписываются XML-ответы сервера обновлений (XMLDSig). В версии 8.9.2, которая ожидается примерно через месяц, проверка подписи станет обязательной: если подписи нет, обновление не установится.

Notepad++ часто стоит на рабочих станциях разработчиков, админов и аналитиков. Выборочная подмена обновлений это удобный путь для скрытого проникновения: зараженный редактор выглядит как обычная программа, а обновление воспринимается как рутина.

Если в компании Notepad++ используется массово, имеет смысл проверить, какие версии стояли в период июнь-декабрь 2025, и обновиться до ветки, где включена проверка подписи. И отдельно - сделать вывод шире Notepad++: любое приложение с автообновлением становится точкой входа, если проверка подлинности обновлений устроена формально, а не по-настоящему.