0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Ваш любимый Notepad++ теперь с сюрпризом (от китайских спецслужб)

leer en español

Notepad++ кибератака взлом Китай WinGUp
Ваш любимый Notepad++ теперь с сюрпризом (от китайских спецслужб)
Notepad++ кибератака взлом Китай WinGUp

Разработчик текстового редактора сообщил о компрометации инфраструктуры проекта государственными хакерами.

image

Разработчик популярного текстового редактора Notepad++ сообщил о серьезном инциденте безопасности, который затронул систему обновлений программы. Злоумышленники, связанные с государственными структурами, смогли перехватить механизм проверки обновлений и перенаправляли пользователей на вредоносные серверы вместо официального сайта.

Создатель проекта Дон Хо рассказал, что атака произошла не из-за ошибки в коде приложения. По его словам, была скомпрометирована инфраструктура у хостинг-провайдера. Это позволило атакующим перехватывать и перенаправлять сетевой трафик, который предназначался для домена notepad-plus-plus.org. Точный способ реализации атаки пока устанавливается.

Примерно месяц назад вышла версия Notepad++ 8.8.9, в которой уже исправляли проблему с модулем обновления WinGUp. Тогда выяснилось, что он в отдельных случаях обращался к вредоносным доменам и мог загрузить подмененные исполняемые файлы. Причина была в механизме проверки целостности и подлинности загружаемых обновлений. Если злоумышленник получал возможность перехватить сетевое соединение между программой и сервером обновлений, он мог подменить файл другим двоичным содержимым.

По имеющейся оценке, перенаправление трафика носило выборочный характер и затрагивало только часть пользователей. Их запросы отправлялись на подставные серверы, откуда загружались вредоносные компоненты. Предположительно атака началась в июне 2025 года и оставалась незамеченной более полугода.

Независимый исследователь безопасности Кевин Бомонт сообщил, что уязвимость использовали хакерские группы из Китая. С ее помощью они перехватывали сетевые соединения и пытались заставить жертв устанавливать вредоносные программы. После обнаружения инцидента сайт Notepad++ перенесли к другому хостинг-провайдеру.

Как уточнил разработчик, по данным прежнего провайдера общий сервер хостинга оставался скомпрометированным до 2 сентября 2025 года. Даже после потери прямого доступа к серверу злоумышленники сохраняли учетные данные к внутренним сервисам до 2 декабря 2025 года. Это позволяло им продолжать перенаправление запросов на обновление программы на вредоносные ресурсы.