В 2025 году популярный текстовый редактор Notepad++ стал объектом сложной supply chain-атаки: злоумышленники скомпрометировали инфраструктуру хостинг-провайдера и подменяли обновления приложения для отдельных пользователей. 2 февраля 2026 года разработчик Notepad++ Дон Хо опубликовал результаты расследования, подтвердив масштаб и характер инцидента.
Как проходила атака на механизм обновления Notepad++
Согласно опубликованным данным, вредоносная активность началась в июне 2025 года и оставалась незамеченной до декабря. Компрометация произошла не в коде Notepad++, а на уровне инфраструктуры бывшего хостинг-провайдера домена notepad-plus-plus.org. Это классический пример атаки на цепочку поставок программного обеспечения, когда злоумышленники бьют не по продукту, а по его окружению.
Атакующие перехватывали HTTP-запросы к механизму обновления Notepad++ и избирательно перенаправляли трафик на контролируемые ими серверы. Там жертвам выдавались поддельные манифесты обновлений с ссылками на вредоносные установочные файлы. Подмена выполнялась не для всех пользователей, а точечно, что сильно снижало шансы на быстрое обнаружение инцидента.
Устанавливаемая через ложные обновления малварь выполняла первичную разведку в системе жертвы. Она запускала стандартные команды Windows netstat, systeminfo, tasklist, whoami для сбора сетевой информации, конфигурации ОС, списка процессов и учетной записи пользователя, сохраняла результат в файл и отправляла его на сервис временного хранения файлов temp[.]sh с помощью утилиты curl. Подобный минималистичный функционал характерен для первого этапа целевых атак, когда злоумышленники оценивают ценность скомпрометированной системы.
Роль хостинг-провайдера и хронология компрометации
В отчете, полученном от бывшего хостинг-провайдера, указывается, что сервер, на котором размещался сайт с механизмом обновлений Notepad++, был скомпрометирован до 2 сентября 2025 года. В этот день провайдер провел плановое обслуживание — обновил ядро и прошивку. После этого в логах пропали подозрительные паттерны доступа к самому серверу, что говорит о потере прямого контроля злоумышленниками.
Однако, как отмечает провайдер, атакующие сохраняли доступ к внутренним сервисам хостинговой инфраструктуры до 2 декабря 2025 года. Этого было достаточно, чтобы продолжать выборочно перенаправлять запросы к /update/getDownloadUrl.php на свои серверы и подсовывать пользователям вредоносные URL обновлений. При этом, по логам, никаких атак на других клиентов на этом сервере зафиксировано не было — злоумышленников интересовал именно домен notepad-plus-plus.org и его механизм обновлений.
Специалисты по реагированию на инциденты, участвовавшие в расследовании, указывают, что практическая фаза атаки, вероятно, завершилась около 10 ноября 2025 года. Разработчик Notepad++ отмечает несоответствие дат, но считает обоснованным считать период компрометации инфраструктуры с июня по декабрь 2025 года.
Возможная причастность китайской APT-группировки
Несколько независимых экспертов по кибербезопасности пришли к выводу, что за инцидентом, с высокой вероятностью, стоит китайская «правительственная» APT-группировка. Аргументы в пользу такой атрибуции включают таргетированный характер атаки, низкий «шум» (избирательная подмена только части обновлений) и профиль пострадавших организаций, которые, по данным экспертов, имели бизнес-интересы в Восточной Азии.
Подобные операции хорошо вписываются в известную тактику государственных APT-групп, использующих атаки на цепочку поставок ПО для скрытного доступа к инфраструктуре конкретных компаний. Как показывают открытые отраслевые отчеты, supply chain-атаки остаются одним из наиболее эффективных и труднообнаруживаемых методов компрометации, поскольку пользователи по умолчанию доверяют обновлениям известных продуктов.
Ответ разработчиков: усиление безопасности обновлений Notepad++
После первых сообщений пользователей о подмене обновлений в конце 2025 года разработчики оперативно начали ужесточать защиту. В ноябре была выпущена версия Notepad++ 8.8.8, в которой загрузка обновлений стала выполняться только с GitHub, что снизило риски перехвата трафика на стороне хостинга.
Затем 9 декабря появилась версия 8.8.9 с более строгими мерами: встроенный обновляющий компонент WinGup стал проверять цифровую подпись устанавливаемого пакета и сертификат разработчика. Дополнительно сервер обновлений начал подписывать свои XML-ответы с помощью XMLDSig, что позволяет клиенту удостовериться в подлинности и целостности метаданных обновления, а не только исполняемого файла.
Сайт Notepad++ был перенесен к новому хостинг-провайдеру с более высоким уровнем защиты и пересмотренными процедурами безопасности. В ближайший месяц ожидается версия 8.9.2, в которой проверка цифровой подписи и сертификата станет обязательной и неизбежной для установки обновлений. Уже сейчас автор проекта рекомендует пользователям вручную скачать и установить версию 8.9.1, включающую все ключевые защитные улучшения.
Практические выводы для кибербезопасности и защиты обновлений
Инцидент с Notepad++ наглядно показывает, что даже доверенные инструменты и популярные приложения могут стать вектором атаки, если злоумышленнику удается скомпрометировать инфраструктуру провайдера. Организациям и частным пользователям стоит рассматривать механизм обновления ПО как критический элемент безопасности, а не как сугубо техническую удобную функцию.
Для снижения рисков эксперты рекомендуют: по возможности включать проверку цифровых подписей обновлений, ограничивать автоматическую установку апдейтов на критически важных системах, контролировать исходящий трафик к малоизвестным ресурсам (вроде временных файловых сервисов), а также регулярно отслеживать сообщения о киберинцидентах, связанных с используемым ПО. Компании, в свою очередь, должны уделять больше внимания безопасности своих поставщиков и хостинг-партнеров, включая аудит, требования к логированию и процедурам реагирования.
Случай с компрометацией обновлений Notepad++ подчеркивает: устойчивость к атакам на цепочку поставок — это совместная задача разработчиков, провайдеров и пользователей. Чем внимательнее организации относятся к проверке подлинности обновлений и мониторингу аномальной сетевой активности, тем сложнее злоумышленникам реализовать подобные тихие и точечные операции.
