Пользователи популярного бесплатного текстового редактора и редактора кода Notepad++ стали жертвами масштабной кибератаки, в результате которой вместо легитимных обновлений программы на их компьютеры устанавливалось вредоносное программное обеспечение. Разработчик приложения Дон Хо обнаружил подозрительную активность в конце прошлого года и официально подтвердил факт компрометации в понедельник, призвав всех пользователей немедленно обновить свои версии редактора до последней безопасной сборки.
Киберпреступники атаковали не саму программу, а хостинг-провайдера официального сайта notepad-plus-plus.org, что позволило им получить контроль над распространением файлов. Взлом серверов открыл злоумышленникам возможность перенаправлять ссылки на загрузку обновлений на собственные ресурсы, откуда и распространялось заражённое программное обеспечение. По данным расследования, компрометация инфраструктуры началась ещё в июне 2025 года, то есть хакеры имели доступ к системе на протяжении более полугода.
Особенностью этой операции стала её избирательность: вредоносные обновления получали не все пользователи редактора, а только определённые целевые жертвы. Исследователь безопасности Кевин Бомонт первым публично предупредил об угрозе 2 декабря, отметив, что небольшое количество пользователей сообщает о проблемах. Специалист указал на уязвимость в механизме автоматического обновления WinGUp, который некорректно проверял загружаемые файлы на предмет подлинности и возможных изменений.
Эксперты по кибербезопасности обнаружили признаки того, что за атакой может стоять хакерская группировка, предположительно связанная с государственными структурами Китая. Главный разработчик Notepad++ сообщил, что основными целями злоумышленников стали организации в США, которые тесно сотрудничают с китайским правительством. Также в зону интересов атакующих попали компании из телекоммуникационной отрасли и финансового сектора, представляющие особый интерес для промышленного шпионажа.
Компания Rapid7, специализирующаяся на информационной безопасности, опубликовала технический анализ вредоносного кода. Хакеры распространяли программу под названием update.exe, которая содержала четыре файла. Сценарий установки создавал в системной папке новый скрытый каталог с именем Bluetooth, копировал туда вспомогательные файлы и запускал исполняемый файл BluetoothService.exe. Вредоносное обновление было спроектировано для создания бэкдора в операционной системе компьютера, что позволяло злоумышленникам незаметно получать доступ к конфиденциальным данным и похищать файлы с заражённых машин.