Notepad++ полгода распространял китайский вирус через обновления из-за взлома хостинга

Разработчик Notepad++ подтвердил серьезный инцидент безопасности: с июня по начало декабря 2025 года часть пользователей могла получать зараженные обновления программы.

Но есть важный момент: причиной стала компрометация инфраструктуры хостинг-провайдера. То есть в самом редакторе уязвимости не было.

Что произошло

Как следует из расследования, злоумышленники получили доступ к shared-серверу, на котором размещался сайт notepad-plus-plus.org и скрипт обновлений.

Они выборочно перехватывали трафик и подменяли ответы сервера обновлений, перенаправляя пользователей на вредоносные файлы. Атака была селективной: зараженные обновления получали не все, а только часть пользователей.

По оценке независимых исследователей, за кампанией могла стоять китайская APT-группа — это объясняет точечный характер атак и длительность операции.

Почему это продолжалось так долго

По данным хостинг-провайдера:

• до 2 сентября 2025 года сервер находился под активным контролем атакующих;
• после обновления ядра и прошивки, прямой доступ был утрачен, но учетные данные внутренних сервисов оставались скомпрометированными;
• из-за этого до 2 декабря 2025 года злоумышленники все еще могли перенаправлять трафик обновлений.

Иными словами, сервер уже считался «чистым», но инфраструктурные ключи — нет.

При чем тут Notepad++ и обновления

Атакующие целенаправленно охотились именно за доменом Notepad++, зная, что в старых версиях механизмы проверки обновлений были недостаточно жесткими. Это позволило подсовывать поддельные манифесты обновлений без немедленного обнаружения.

Разработчик и хостинг-провайдер заявляют, что инцидент полностью закрыт:

Что делать пользователям

Авторы проекта рекомендует:

• скачать v8.9.1 вручную с официального сайта;
• установить ее поверх текущей версии;
• не использовать старые сборки с автообновлением без проверки.

Итог

Это тот редкий, но показательный случай, когда open-source проект пострадал не из-за собственного кода, а из-за слабого звена в цепочке поставки — хостинга. Полгода атака оставалась почти незаметной, потому что работала аккуратно и выборочно.

Разработчик Notepad++ публично извинился перед пользователями и признал, что история стала болезненным, но важным уроком: проверка обновлений — не опция, а обязательный минимум.