Відомий розробник популярного текстового редактора з відкритим вихідним кодом Notepad++ підтвердив, що хакери зуміли захопити програмне забезпечення, щоб протягом кількох місяців доставляти користувачам шкідливі оновлення. Ця кібератака, що тривала з червня по грудень 2025 року, ймовірно, була здійснена злочинцями, пов’язаними з китайським урядом.
Атака на Notepad++
У блозі, опублікованому автором Notepad++ Дон Хо, зазначається, що численні експерти з кібербезпеки проаналізували шкідливий код та методи атак, внаслідок чого стало відомо про селективний характер цілей. За даними Rapid7, що досліджували інцидент, за атаками стоїть шпигунська група Lotus Blossom, відома своєю діяльністю на замовлення Китаю. Основними мішенями стали державні установи, галузі зв’язку, авіації, критичної інфраструктури та медіа.
Notepad++ має багаторічну історію, з моменту свого запуску понад двадцять років тому, і на сьогоднішній день його завантажили десятки мільйонів користувачів по всьому світу. Згідно з даними Кейвін Бомонта, експерта з кібербезпеки, який вперше виявив атаку, жертвами стали кілька організацій, що мають інтереси в Східній Азії. Хакери здобули доступ до комп’ютерів користувачів, які випадково використовували скомпрометовану версію редактора.
Дон Хо підтвердив, що точний механізм злому його серверів поки що залишився невизначеним, проте він поділився деякими подробицями. За словами розробника, сайт Notepad++ був розміщений на спільному сервері, і зловмисники спеціально атакували домен, щоб скористатися вразливістю програмного забезпечення. Ця вразливість дозволила злодіям перенаправляти частину користувачів на шкідливий сервер, з якого доставлялися небезпечні оновлення до моменту, поки вразливість не була усунена в листопаді.
Хо також зазначив, що хакери намагалися повторно використати одну з виправлених вразливостей, проте їхня спроба не увінчалася успіхом після усунення помилки. За підтвердженнями від провайдера хостингу, спільний сервер дійсно зазнав компрометації, але точний спосіб, як саме відбувся злом, поки що залишається невідомим.
Розробник висловив жаль щодо інциденту і закликав усіх користувачів завантажити останню версію програми, яка містить виправлення. Ця кібератака нагадує про аналогічний інцидент 2019-2020 років, коли злочинці з Росії зламали компанію SolarWinds, використовуючи секретну вітку в її програмному забезпеченні, що дало їм доступ до даних клієнтів компанії.
Таким чином, ситуація з Notepad++ є яскравим нагадуванням про загрози в сфері кібербезпеки і важливість своєчасного оновлення програмного забезпечення для забезпечення безпеки даних.
