С июня по декабрь 2025 года злоумышленники контролировали инфраструктуру хостинг-провайдера Notepad++. Через подмену манифестов обновлений они перенаправляли пользователей на вредоносные серверы. По данным аналитиков, целью атаки был шпионаж за конкретными организациями.
Кто в зоне риска
Опасность угрожает вам, только если вы обновляли программу через встроенный апдейтер в период с июня по декабрь 2025 года.
Если вы скачивали установщики вручную с официального сайта или GitHub, ваш компьютер в безопасности. Массового заражения всех пользователей не произошло — атака была точечной.
Как действовали хакеры
Злоумышленники использовали уязвимости в старых версиях Notepad++ и слабую систему проверки обновлений.
- До 2 сентября 2025 года у них был прямой доступ к серверам хостинга.
- До 2 декабря 2025 года они сохраняли внутренние учётные данные сервиса, что позволяло перехватывать трафик обновлений сайта notepad-plus-plus.org.
Что изменилось в безопасности
Разработчики уже приняли меры, чтобы ситуация не повторилась:
Сменили хостинг. Notepad++ перешёл к новому, более защищённому провайдеру.
Обновили ключи. Все старые пароли и учётные данные предыдущего провайдера аннулированы.
Усилили проверку файлов. В версию 8.8.9 добавили проверку сертификата и подписи установщика. В версии 8.9.2 внедрят строгую проверку XMLDSig для всех обновлений.
XMLDSig — это цифровой «штамп», который гарантирует, что файл обновления не подменили по пути от разработчика к вам.
Что нужно сделать прямо сейчас
Если вы пользовались программой в указанный период, выполните три шага:
Обновитесь вручную. Скачайте версию 8.9.1 или выше с официального сайта. Не используйте автоматическое обновление внутри старой программы.
Сбросьте пароли. Если вы использовали Notepad++ для работы с базами данных, FTP или SSH, немедленно смените пароли от этих сервисов. Данные могли быть похищены.
Проверьте систему. Запустите полное сканирование антивирусом, чтобы исключить наличие шпионского ПО.