Користувачі Notepad++ стали жертвами масштабної кібератаки. Хакери скомпрометували безкоштовний текстовий редактор та поширювали шкідливе оновлення через вбудовану функцію автооновлення. Розробник Notepad++ Дон Хо виявив підозрілу активність наприкінці минулого року та підтвердив злам у понеділок.
Атака була спрямована не на саму програму, а на хостинг-провайдера офіційного домену notepad-plus-plus.org. Це дозволило зловмисникам перенаправити посилання для завантаження на власні сервери, які розповсюджували інфіковане оновлення.
Уразливість механізму оновлення
“Зловмисники спеціально націлилися на домен Notepad++ з метою використання недостатніх засобів перевірки оновлень, які існували в старих версіях Notepad++”, — пояснив Хо. Втім, шкідливе оновлення отримали не всі користувачі.
2 грудня дослідник безпеки Кевін Бомонт попередив про загрозу, зазначивши, що проблеми виявили “невелика кількість” користувачів. Бомонт звернув увагу, що механізм автооновлення WinGUp для Windows отримував URL-адреси шкідливих оновлень. “Якщо можна перехопити та змінити цей трафік, можна перенаправити завантаження в будь-яке місце, змінивши URL-адресу у властивостях”, — написав він. “Фактично, це ситуація, коли завантаження не перевіряється належним чином на предмет втручання”.
Китайські державні хакери
Інфікування розпочалося ще в червні 2025 року. За словами Хо, дослідники безпеки виявили докази, які вказують на те, що за злом стоїть китайська хакерська група, спонсорована державою.
“Я не можу оцінити, скільки користувачів могли постраждати”, — розповів Хо виданню PCMag. “Що ми знаємо напевно — мішенями, схоже, були організації у Сполучених Штатах, які тісно працюють з китайським урядом”. Бомонт додає, що хакери, ймовірно, націлювалися на користувачів, пов’язаних з телекомунікаційними та фінансовими послугами, які цікавлять Китай.
Механізм роботи шкідливого ПЗ
Компанія Rapid7 опублікувала власний звіт, у якому зазначається, що хакери поширювали програму під назвою “update.exe”, яка містить чотири файли. “Інсталяційний скрипт отримує інструкцію створити новий каталог ‘Bluetooth’ у папці ‘%AppData%’, скопіювати туди решту файлів, змінити атрибут каталогу на HIDDEN та запустити BluetoothService.exe”, — повідомляє Rapid7.
Шкідливе оновлення створює бекдор на комп’ютері, дозволяючи хакерам таємно красти файли. Під час розслідування хостинг-провайдер notepad-plus-plus.org підтвердив, що його логи показують ознаки зловмисного вторгнення.
Виправлення вразливості
2 вересня оновлення сервера обмежило дії хакерів. Однак вони все ще мали доступ до облікових даних для внутрішніх служб на тому ж сервері, що дозволило їм продовжувати поширювати шкідливе оновлення. Злом було повністю припинено 2 грудня.
Через сім днів Notepad++ випустив нову версію 8.8.9 для усунення атаки. Крім того, додаток мігрував до нового хостинг-провайдера з кращою безпекою. “У самому Notepad++ механізм WinGUp (оновлювач) було покращено у версії 8.8.9 для перевірки як сертифіката, так і підпису завантаженого інсталятора”, — додав Хо.
Найновіша версія 8.9.1 включає ще більше покращень безпеки. Користувачам настійно рекомендується оновитися до останньої версії.
