Хотели исправить баги, а получили «товарища майора». Всё об атаке на Notepad++

Популярный текстовый редактор Notepad++ почти полгода раздавал пользователям не обновления, а вредоносные файлы. Атака оставалась незаметной с июня по декабрь 2025 года и затронула механизм обновления программы, которой ежедневно пользуются десятки тысяч человек. Вместо исправлений некоторые получали шпионское программное обеспечение.

Разработчик Notepad++ Дон Хо 2 февраля 2026 года раскрыл подробности инцидента. Злоумышленники не взламывали сам проект. Они проникли к хостинг-провайдеру, где размещался сайт notepad-plus-plus.org. Ресурс работал на общем сервере вместе с другими клиентами. После компрометации такого сервера нападающие получили возможность просматривать и подменять проходящий через него трафик.

Система обновления Notepad++ устроена довольно просто. Встроенный модуль запрашивает на сервере небольшой файл с адресом последней версии, затем загружает установщик во временную папку и запускает его. В старых версиях при этом не выполнялась полноценная проверка подлинности файла. Программа фактически доверяла любому полученному установщику и не сверяла цифровую подпись и цепочку сертификатов.

Этим и воспользовались атакующие. Они перехватывали запросы на обновление и подменяли ссылку в ответе сервера. Вместо настоящего установщика пользователю отправляли файл со своего узла. Модуль обновления запускал его без предупреждений, так как не умел отличать подделку от оригинала.

Исследователь в области безопасности Кевин Бомонт изучил несколько подтверждённых случаев заражения. По его данным, пострадали организации из телекоммуникационной и финансовой сферы в Восточной Азии. После первичного проникновения в сети работали живые операторы, которые вручную изучали инфраструктуру. Это была не массовая рассылка вредоносных программ, а точечная разведывательная операция.

Вредоносный модуль сохранялся во временной папке под именем AutoUpdater.exe, которое не используется настоящим обновлением Notepad++. Затем он собирал сведения о системе, запущенных процессах, сетевых соединениях и правах пользователя. Результаты отправлялись на анонимный файловый сервис, который уже не раз встречался в других шпионских кампаниях.

Расследование показало сразу несколько слабых мест. В старых версиях применялся собственный корневой сертификат для подписи кода, причём он находился в открытом доступе в репозитории. Проверка сертификатов при защищённом соединении работала некорректно. Дополнительным фактором риска стало размещение сайта на общем хостинге, где взлом одного клиента открывает доступ к чужому трафику.

По данным провайдера, в сентябре сервер обновили и первоначальный доступ злоумышленников был закрыт. Позже они пытались вернуться тем же способом, но уже безуспешно. Первые публичные признаки проблемы появились в октябре, когда один из пользователей заметил подозрительный запуск неизвестного файла обновления. В ноябре разработчик перевёл распространение новых версий через репозиторий GitHub, а в декабре добавил строгую проверку сертификатов. Со 2 декабря возможность подмены обновлений была окончательно закрыта.

Ряд специалистов связывает атаку с группой, известной под именами APT31, Zirconium или Violet Typhoon. Ей приписывают государственную поддержку и длительные разведывательные операции. Однако в сфере кибербезопасности точная атрибуция почти никогда не бывает стопроцентной, поэтому окончательные выводы делать рано.

Разработчик уже перенёс сайт к другому провайдеру и усилил защиту механизма обновлений. Пользователям рекомендуют установить версию 8.8.9 или новее и при необходимости загрузить установщик вручную с официальной страницы. История стала наглядным примером того, как атака на цепочку поставок программ может затронуть миллионы людей, даже если сам проект не был напрямую взломан.