Разработчик популярного текстового редактора с открытым исходным кодом Notepad++ подтвердил, что хакеры взломали программу, чтобы распространять вредоносные обновления среди пользователей в течение нескольких месяцев 2025 года.
В сообщении в блоге, опубликованном в понедельник, разработчик Notepad++ Дон Хо заявил, что кибератака, вероятно, была совершена хакерами, связанными с китайским правительством, в период с июня по декабрь 2025 года, ссылаясь на многочисленные анализы экспертов по безопасности, изучивших вредоносные программы и схемы атак. Хо сказал, что это «объяснит крайне избирательный подход к нацеливанию», наблюдавшийся во время кампании.
Хо не сообщил, сколько пользователей стали мишенью атаки или сколько из них были скомпрометированы — если это известно — и не ответил на вопросы к моменту публикации. (Если мы получим ответ, мы обновим информацию.)
Notepad++ — один из старейших проектов с открытым исходным кодом, существующий уже более двух десятилетий, и на сегодняшний день его скачали как минимум десятки миллионов раз, в том числе сотрудники организаций по всему миру.
По словам Кевина Бомонта, исследователя в области безопасности, который первым обнаружил кибератаку и изложил свои выводы в декабре, хакеры взломали небольшое количество организаций, «имеющих интересы в Восточной Азии», после того, как кто-то непреднамеренно использовал зараженную версию популярного программного обеспечения. Бомонт заявил, что хакерам удалось получить «прямой» доступ к компьютерам жертв, которые использовали взломанные версии Notepad++.
Хо заявил, что «точный технический механизм» взлома его серверов хакерами по-прежнему расследуется, но предоставил некоторые подробности о том, как произошла атака.
В своем блоге Хо заявил, что веб-сайт Notepad++ размещался на сервере общего хостинга. Злоумышленники «целенаправленно атаковали» веб-домен Notepad++ с целью использования уязвимости в программном обеспечении для перенаправления некоторых пользователей на вредоносный сервер, управляемый хакерами. Это позволило хакерам доставлять вредоносные обновления определенным пользователям, запросившим обновление программного обеспечения, до тех пор, пока уязвимость не была исправлена в ноябре, а доступ хакеров к серверу не был прекращен в начале декабря.
«У нас есть записи, указывающие на то, что злоумышленник пытался повторно использовать одну из исправленных уязвимостей; однако после внедрения исправления попытка не увенчалась успехом», — написал Хо.
Хо принес извинения за инцидент и призвал пользователей загрузить последнюю версию своего программного обеспечения, в которой исправлена ошибка.
Кибератака, направленная на пользователей Notepad++, чем-то напоминает кибератаку 2019-2020 годов, затронувшую клиентов SolarWinds, компании-разработчика программного обеспечения, создающей инструменты управления ИТ и сетями для крупных организаций из списка Fortune 500, включая государственные учреждения. Российские правительственные хакеры взломали серверы компании и тайно внедрили в ее программное обеспечение бэкдор, что позволило российским шпионам получить доступ к данным в сетях этих клиентов после выхода обновления.
Взлом системы SolarWinds затронул ряд правительственных ведомств, включая Министерство внутренней безопасности, а также министерства торговли, энергетики, юстиции и иностранных дел.
Обновлено с учетом ответа от Хо.
Источник: techcrunch.com
