Популярный текстовый редактор Notepad++ оказался в центре киберскандала: злоумышленники сумели внедриться в цепочку обновлений и почти полгода незаметно распространяли вредоносное ПО. Как выяснилось позже, атака началась ещё летом 2025 года и затронула лишь ограниченный круг пользователей, что позволило ей долго оставаться незамеченной.
По данным разработчиков, вредоносный код устанавливался вместе с обновлениями и собирал сведения о системе — от списка запущенных процессов до сетевых подключений и учётных данных пользователя. Полученная информация сохранялась локально, а затем отправлялась на удалённый сервер. Расследование показало, что целью были не случайные жертвы, а конкретные пользователи с деловыми интересами в Восточной Азии.
Ключевая проблема оказалась не в самом Notepad++, а в инфраструктуре: атакующие скомпрометировали хостинг-провайдера официального сайта проекта. Это позволило им перехватывать запросы на обновление и подменять их вредоносным кодом, перенаправляя трафик на подконтрольные серверы. Доступ к внутренним системам провайдера сохранялся вплоть до декабря 2025 года.
После раскрытия инцидента сайт Notepad++ переехал к другому провайдеру с усиленной защитой, а механизм обновлений серьёзно переработали. В свежих версиях введена обязательная проверка сертификатов и цифровых подписей, которая станет ещё строже в ближайшем релизе. Разработчики настоятельно советуют пользователям вручную установить актуальную версию редактора, чтобы закрыть все выявленные лазейки.