Łukasz WójcikPopularny edytor tekstu Notepad++ stał się celem zaawansowanego cyberataku przeprowadzonego przez hakery prawdopodobnie powiązane z chińskimi służbami specjalnymi. Atak trwał kilka miesięcy i polegał na przejęciu kontroli nad systemem aktualizacji aplikacji poprzez kompromitację infrastruktury hostingowej.
Szczegóły ataku na infrastrukturę
Według oficjalnego komunikatu twórców Notepad++, atakujący nie wykorzystali luk w samej aplikacji, lecz skompromitowali serwery dostawcy usług hostingowych. Dzięki temu mogli przechwytywać ruch związany z aktualizacjami kierowany do domeny notepad-plus-plus.org i przekierowywać wybranych użytkowników na własne serwery zawierające zmodyfikowane pliki instalacyjne.
Cyberprzestępcy uzyskali dostęp do współdzielonego serwera hostingowego w czerwcu 2025 roku i utrzymywali go do września tego samego roku. Mimo utraty bezpośredniego dostępu do serwera podczas planowanych prac konserwacyjnych 2 września, hakerzy zachowali skradzione dane uwierzytelniające, które pozwoliły im kontynuować manipulowanie ruchem aktualizacji aż do 2 grudnia 2025 roku.
Cel i zasięg ataku
Notepad++ to jeden z najpopularniejszych edytorów tekstu i kodu dla systemu Windows, używany przez miliony programistów, administratorów systemów i innych specjalistów IT na całym świecie. Jego szeroka baza użytkowników czyni go atrakcyjnym celem dla zaawansowanych grup hakerskich dążących do infiltracji środowisk deweloperskich lub przeprowadzenia ataków na łańcuch dostaw.
Analitycy bezpieczeństwa oceniają, że poziom wyrafinowania i selektywność operacji są charakterystyczne dla grup wspieranych przez chińskie państwo. Atakujący celowali w konkretnych użytkowników, a nie prowadzili masową dystrybucję złośliwego oprogramowania, co sugeruje cele szpiegowskie rather than broad malware distribution.
Wprowadzone zabezpieczenia
W odpowiedzi na wykryty atak, zespół Notepad++ wdrożył szereg środków bezpieczeństwa:
- Migracja hostingu: Strona internetowa Notepad++ została przeniesiona do nowego dostawcy z wzmocnionymi zabezpieczeniami
- Weryfikacja podpisów cyfrowych: Od wersji 8.8.9 system WinGUp wymusza weryfikację podpisu cyfrowego i certyfikatu pobieranych instalatorów
- Podpisywanie manifestów: Manifest aktualizacji jest teraz kryptograficznie podpisywany przy użyciu technologii XMLDSig
- Ściślejsze kontrole: Począwszy od wersji 8.9.2 (oczekiwanej na początku marca 2026), weryfikacja podpisu i certyfikatu będzie bezwzględnie wymagana
Chronologia wydarzeń
| Data | Wydarzenie |
|---|---|
| Czerwiec 2025 | Początek kompromitacji serwera hostingowego |
| 2 września 2025 | Utrata bezpośredniego dostępu do serwera podczas konserwacji |
| 10 listopada 2025 | Zakończenie aktywności atakujących według ekspertów |
| 2 grudnia 2025 | Ostateczne zakończenie dostępu hakerów |
| Grudzień 2025 | Wydanie Notepad++ v8.8.9 z poprawkami bezpieczeństwa |
Zalecenia dla użytkowników
Twórcy aplikacji zdecydowanie zalecają wszystkim użytkownikom starszych wersji natychmiastową aktualizację do najnowszej wersji. Dodatkowo, użytkownicy powinni zweryfikować integralność swoich instalacji, aby upewnić się, że nie zostały skompromitowane podczas trwania ataku.
Deweloper wyraził pewność, że wprowadzone środki zaradcze całkowicie neutralizują wektor ataku i przywracają integralność aktualizacji Notepad++.
Ten incydent podkreśla rosnące zagrożenie atakami na łańcuch dostaw oprogramowania oraz potrzebę wzmocnienia zabezpieczeń infrastruktury hostingowej, szczególnie dla popularnych narzędzi deweloperskich. Stanowi również przykład tego, jak grupy hakerskie wspierane przez państwa wykorzystują zaawansowane techniki do przeprowadzania długoterminowych operacji szpiegowskich.
