Популярний текстовий редактор Notepad++ став мішенню складної supply chain-атаки, у межах якої зловмисники змогли підміняти оновлення програми для окремих користувачів. Розслідування, оприлюднене 2 лютого 2026 року автором проєкту Дон Хо, підтвердило: атаковано було не вихідний код застосунку, а інфраструктуру колишнього хостинг-провайдера домену notepad-plus-plus.org.
Як працювала supply chain-атака на механізм оновлення Notepad++
За оприлюдненими даними, шкідлива активність розпочалася орієнтовно в червні 2025 року та залишалася непоміченою щонайменше до грудня. Критично важливий нюанс: компрометовано було не репозиторій коду Notepad++, а сервери хостинг-провайдера, де розміщувався сайт і механізм оновлень.
Атакувальники перехоплювали HTTP-запити до компонента оновлень Notepad++ і вибірково перенаправляли їх на контрольовані ними сервери. Там користувачам видавалися підроблені манифести оновлень з посиланнями на шкідливі інсталяційні файли. Підміна відбувалася не масово, а точково, що суттєво ускладнювало виявлення — більшість користувачів продовжували отримувати легітимні оновлення.
Запущена через фальшиві оновлення малварь виконувала первинну розвідку в системі жертви. Вона запускала стандартні команди Windows netstat, systeminfo, tasklist, whoami для збору мережевих параметрів, інформації про ОС, активні процеси та обліковий запис користувача. Результати записувалися у файл і відправлялися на сервіс тимчасового зберігання файлів temp[.]sh за допомогою утиліти curl. Такий мінімалістичний функціонал характерний для першої стадії цільових атак, коли зловмисники оцінюють цінність компрометованого хоста перед розгортанням наступних етапів.
Компрометація хостинг-провайдера: часові рамки та технічні деталі
За звітом колишнього хостинг-провайдера, сервер, де розміщувався сайт з механізмом оновлень Notepad++, був скомпрометований ще до 2 вересня 2025 року. У цей день провайдер провів планове обслуговування — оновив ядро та прошивку. Після цього підозрілі патерни доступу безпосередньо до сервера зникли, що може свідчити про втрату зловмисниками прямого контролю.
Втім, провайдер зазначає, що атакувальники зберігали доступ до внутрішніх сервісів хостингової інфраструктури до 2 грудня 2025 року. Цього було достатньо, щоб продовжувати вибірково перенаправляти запити до /update/getDownloadUrl.php на свої сервери й підсовувати шкідливі URL для оновлень Notepad++.
Цікаво, що за логами не зафіксовано нападів на інших клієнтів, розміщених на цьому ж сервері. Мішенню був виключно домен notepad-plus-plus.org та його механізм оновлень, що додатково вказує на таргетований, а не масовий характер кампанії.
Фахівці з реагування на інциденти оцінюють, що практична фаза атаки — тобто активна підміна оновлень — завершилася близько 10 листопада 2025 року. Попри певні розбіжності у датах, розробники вважають обґрунтованим вважати період компрометації інфраструктури таким, що тривав із червня по грудень 2025 року.
Можлива причетність китайської APT-групи
Низка незалежних експертів із кібербезпеки пов’язують інцидент із китайською державнозалежною APT-групою. На користь такої атрибуції вказують кілька факторів: високий рівень обережності (низький «шум», вибіркова підміна оновлень), орієнтація на конкретні організації та наявність у низки постраждалих структур бізнес-інтересів у Східній Азії.
Подібні операції добре вписуються в типову тактику державних APT-акторів, які активно використовують атаки на ланцюг постачання програмного забезпечення для прихованого доступу до інфраструктури визначених компаній. Як показують відкриті галузеві звіти та інциденти на кшталт SolarWinds, CCleaner чи 3CX, supply chain-атаки залишаються одними з найефективніших та найскладніших для виявлення, оскільки експлуатують базову довіру до оновлень від відомих вендорів.
Як Notepad++ посилив безпеку оновлень
Після перших сигналів від користувачів щодо можливої підміни оновлень наприкінці 2025 року команда Notepad++ розпочала поетапне посилення механізму оновлень. У листопаді вийшла версія Notepad++ 8.8.8, у якій завантаження апдейтів було переведено виключно на GitHub. Це зменшило залежність від скомпрометованої хостингової інфраструктури і ризик перехоплення трафіку.
9 грудня з’явилася версія 8.8.9 із більш жорсткими механізмами перевірки: вбудований оновлювач WinGup почав перевіряти цифровий підпис інсталяційного пакета та сертифікат розробника. Додатково сервер оновлень став підписувати свої XML-відповіді за допомогою XMLDSig, що дозволяє перевіряти не лише цілісність виконуваного файлу, а й автентичність метаданих оновлення.
Сайт Notepad++ перенесли до нового хостинг-провайдера із підвищеними вимогами до безпеки та оновленими процедурами захисту. У найближчому релізі версії 8.9.2 очікується, що перевірка цифрового підпису та сертифіката стане обов’язковою та неминучою для встановлення будь-яких оновлень. Уже зараз користувачам рекомендовано вручну завантажити й інсталювати версію 8.9.1, яка містить усі ключові захисні покращення.
Уроки для бізнесу: як захистити ланцюг постачання ПЗ
Інцидент із Notepad++ наочно демонструє, що навіть широко відомі й загалом надійні інструменти можуть перетворитися на вектор атаки, якщо буде скомпрометовано їхній ланцюг постачання. Механізм оновлень програмного забезпечення має розглядатися як критичний елемент безпеки, а не лише як зручність для користувача.
Для зниження ризиків організаціям та приватним користувачам доцільно:
1. Завжди, де це можливо, вмикати перевірку цифрових підписів оновлень та завантажувати пакети тільки з офіційних джерел (власний сайт вендора, GitHub тощо).
2. Обмежувати автоматичне встановлення оновлень на критично важливих системах, перевіряючи як мінімум контрольні суми, постачальника сертифіката та зміну прав доступу.
3. Контролювати вихідний трафік, зокрема до маловідомих або тимчасових файлових сервісів на кшталт temp.sh, що часто використовуються для непомітного витоку даних.
4. Системно відстежувати звітність про кібератаки, пов’язані з використовуваним ПЗ, та оперативно переглядати політики оновлень після появи інформації про інциденти.
5. Вимагати від постачальників і хостинг-партнерів прозорих процедур безпеки: розширеного логування, регулярного аудиту, чітких планів реагування на інциденти й незалежних перевірок.
Випадок з компрометацією оновлень Notepad++ показує, що стійкість до атак на ланцюг постачання — це спільна відповідальність розробників, провайдерів і користувачів. Чим ретельніше організації перевіряють автентичність оновлень, контролюють мережеву активність та оцінюють ризики у своїй екосистемі постачальників, тим важче зловмисникам реалізувати подібні «тихі» та високоточні операції. Саме зараз варто переглянути власні процеси оновлення ПЗ та посилити контроль над усім ланцюгом постачання — від вихідного коду до каналу доставки апдейтів.
