Notepad++ устранил уязвимость, которую китайские хакеры эксплуатировали полгода для распространения вредоносного кода

Разработчики Notepad++ выпустили версию 8.9.2 с полностью переработанным механизмом обновления. Причина серьёзная: с июня по декабрь 2025 года китайская хакерская группировка Lotus Panda использовала систему обновлений редактора для доставки вредоносного кода избранным пользователям.

Атака стала возможной из-за взлома хостинг-провайдера. Хакеры перехватывали запросы на обновление и перенаправляли часть пользователей на подконтрольные серверы, где вместо легитимного обновления отдавалась заражённая сборка. Проблему обнаружили лишь в начале декабря 2025 года, спустя полгода после начала атаки.

По данным компаний Rapid7 и «Лаборатории Касперского», через подменённые обновления распространялся неизвестный ранее бэкдор Chrysalis (скрытая программа удалённого доступа). Инциденту присвоен идентификатор CVE-2025-15556 с оценкой опасности 7,7 из 10 по шкале CVSS.

Автор Notepad++ Дон Хо назвал новую архитектуру обновлений «двойным замком». Первый уровень защиты появился в версии 8.8.9, редактор начал проверять цифровую подпись установочного файла с GitHub. Теперь добавился второй уровень: проверка подписи XML-ответа от сервера обновлений. Раньше атакующим достаточно было подменить ответ сервера, чтобы перенаправить пользователя на вредоносный файл. Теперь это невозможно без валидной подписи.

Также разработчики усилили WinGUp, компонент автоматического обновления. Из него удалили библиотеку libcurl.dll, через которую можно было провести подмену библиотек при загрузке (атака DLL side-loading, когда вредоносная библиотека подкладывается вместо легитимной). Отключили две небезопасные настройки SSL. Ограничили запуск менеджера дополнений: теперь он принимает только программы, подписанные тем же сертификатом, что и сам WinGUp.

Кроме того, исправлена отдельная уязвимость CVE-2026-25926 (оценка 7,3 из 10). Она позволяла выполнить произвольный код через подмену системного файла explorer.exe, если злоумышленник контролировал рабочий каталог процесса.

Всем пользователям Notepad++ настоятельно рекомендуется обновиться до версии 8.9.2 и скачивать установщик только с официального сайта.