Хакеры полгода распространяли вредоносные обновления через взломанный сайт Notepad++
Изображение: recraft
Крупный инцидент с участием популярного редактора кода Notepad++ привёл к массовому распространению вредоносного ПО. Сервер, на котором располагался официальный сайт программы, оказался взломан ещё в середине 2025 года. Как выяснилось позже, злоумышленники распространяли вредоносные версии приложения в течение шести месяцев, начиная с июня.
Разработчики Notepad++ связали действия хакеров с китайскими структурами. В пользу этой версии, по их мнению, говорит выбор жертв. Под ударом оказались не рядовые пользователи, а конкретные организации, действующие в сфере государственной политики, телекоммуникаций, авиации и критически важной инфраструктуры. Попали под атаку и представители медиа-индустрии.
Компания Rapid7, специализирующаяся на кибербезопасности, отнесла атаку к группировке Lotus Blossom. Внимание привлекли попытки вредоносной загрузки в сторону организаций, работающих в Восточной Азии.
Как рассказал эксперт Кевин Бомон, обнаруживший следы атаки, для компрометации было достаточно запустить один единственный заражённый дистрибутив. Это открывало прямой путь к внутренним системам пострадавших компаний.
Разработчики сообщили, что точный способ проникновения на сервер пока не установлен. Известно лишь, что сайт Notepad++ находился на общем сервере с другими проектами.
Хакеры использовали уязвимости серверного программного обеспечения и перенаправляли трафик части посетителей на собственный ресурс. Оттуда скачивались поддельные версии редактора, содержащие вредоносный код.
В ноябре 2025 года удалось закрыть выявленную брешь, но доступ хакеров был ликвидирован только в декабре. Попытки восстановить контроль над системой, предпринятые уже после устранения уязвимости, успеха не имели. По данным хостинг-провайдера, факт несанкционированного проникновения подтверждён, но подробности о технических средствах атаки не раскрываются.
Создатели Notepad++ извинились перед пользователями и порекомендовали срочно обновить программу до последней версии. В новой сборке были удалены все внедрённые злоумышленниками элементы и устранены эксплуатируемые уязвимости. Программа остаётся в открытом доступе, а расследование инцидента продолжается.
