Слишком много следов?
Image

Слишком много следов?

Рассказываем, как замести цифровые следы и вернуть себе право на приватность. Стань невидимкой!

Notepad++ теперь на «двойном замке». Хакерам придётся искать другую жертву, если вы уже обновились

leer en español

Notepad++ Дон Хо WinGUp Rapid7 Лаборатория Касперского Lotus Panda подмена обновлений цепочка поставок
Notepad++ теперь на «двойном замке». Хакерам придётся искать другую жертву, если вы уже обновились
Notepad++ Дон Хо WinGUp Rapid7 Лаборатория Касперского Lotus Panda подмена обновлений цепочка поставок

Автор проекта пошёл на крайние меры, чтобы спасти репутацию «народного блокнота».

image

Разработчики Notepad++ выпустили обновление безопасности 8.9.2, чтобы закрыть слабые места, которыми воспользовалась продвинутая группа с китайским следом. Злоумышленники перехватывали механизм обновлений и выборочно подсовывали вредоносные файлы тем, кто представлял интерес.

Сопровождающий проекта Дон Хо сообщил, что в обновлении применили схему «двойного замка», которая должна сделать цепочку обновления устойчивой к подмене. Речь идёт о двух проверках: в версиях 8.8.9 и новее Notepad++ уже сверяет подпись установщика, скачанного с GitHub, а в 8.9.2 добавили проверку подписи XML, который возвращает сервер обновлений на notepad-plus-plus.org.

Дополнительно усилили компонент автообновления WinGUp. Из него убрали libcurl.dll, чтобы снизить риск подгрузки подменённой библиотеки, отказались от двух небезопасных SSL-настроек cURL и ограничили операции управления плагинами только программами, подписанными тем же сертификатом, что и WinGUp.

В 8.9.2 также исправили уязвимость высокой серьёзности CVE-2026-25926 с оценкой CVSS 7.3. Она связана с небезопасным путём поиска при запуске Windows Explorer без абсолютного пути к исполняемому файлу. Если атакующий контролирует рабочий каталог процесса, при определённых условиях это могло привести к запуску поддельного explorer.exe и выполнению произвольного кода в контексте работающего приложения.

О проблеме с подменой обновлений Notepad++ рассказал несколько недель назад. По данным проекта, компрометация на стороне хостинг-провайдера позволила злоумышленникам с июня 2025 года перехватывать трафик обновлений и перенаправлять запросы отдельных пользователей на вредоносные серверы, где выдавали «отравленное» обновление. Инцидент выявили в начале декабря 2025 года.

Rapid7 и «Лаборатория Касперского» связывали подменённые обновления с доставкой ранее не описанного бэкдора Chrysalis. Этот инцидент цепочки поставок отслеживают как CVE-2025-15556 с оценкой CVSS 7.7, а атрибуцию связывают с группой Lotus Panda.

Пользователям Notepad++ рекомендуют перейти на версию 8.9.2 и скачивать установщики только с официального домена проекта.