Взлом обновлений Notepad++
Следите за новостями по этой теме!
Подписаться на «Рифы и пачки / Твоя культура»
Пользователи популярного текстового и кодового редактора Notepad++ могли месяцами устанавливать поддельные обновления, даже не подозревая, что их компьютеры оказываются под угрозой. Разработчик программы Дон Хо сообщил, что серверы, через которые распространялись обновления, были взломаны в 2025 году и оставались уязвимыми около шести месяцев — с июня по 2 декабря. Хакеры подменяли трафик отдельных пользователей, перенаправляя их на свои сервера, где выдавали заражённые версии апдейтов.
По словам Дона Хо, атака произошла не на стороне Notepad++, а на стороне их бывшего хостинг-провайдера. Неизвестная группа получила доступ к инфраструктуре и использовала её, чтобы выборочно перенаправлять трафик «некоторых целевых пользователей». Официально не раскрывается, кого именно атакующие считали «целевыми», но есть все признаки того, что операции носили разведывательный характер.
У разработчиков появились основания подозревать, что за атакой стояла китайская государственная группа. Это означает, что злоумышленники были не любителями и не обычными киберпреступниками, а структурой с серьёзными ресурсами, временем и доступом к сложным инструментам. Такие группы обычно занимаются промышленным шпионажем, слежкой или попытками получить доступ к данным специалистов, разработчиков, активистов и других «интересных» целей.
Вредоносные обновления могли использоваться для слежки, кражи данных или установки дополнительных программ. При этом пользователи видели обычное окно обновления — всё выглядело легитимно. Настоящий сервер обновлений не был полностью взломан, но поскольку трафик выборочно перенаправлялся на мошеннический, подмена оставалась незаметной.
После обнаружения проблемы Notepad++ сменил хостинг-провайдера и усилил систему проверки подлинности обновлений. Разработчик подчеркнул, что теперь все дистрибутивы проходят дополнительную цифровую проверку. Несмотря на это, остаётся открытым вопрос: кто конкретно оказался в числе «избранных» жертв и какие данные уже могли утечь. Даже если массового заражения не было, сам факт того, что любимый редактор миллионов стал частью международной киберигры, заставляет задуматься о безопасности привычных инструментов.
PEREC.RU
Новость о взломе обновлений Notepad++ — идеальный пример того, как обычная утилита внезапно превращается в инструмент для тихой кибероперации. Атака длилась полгода, при этом пользователи честно считали, что скачивают очередной полезный патч.
На поверхности — аккуратное заявление разработчика Дона Хо. Он рассказывает, что ответственность лежит на бывшем хостинг‑провайдере, а хакеры, по его словам, «вероятно аффилированы с Китаем». Формулировка осторожная — будто бы не уверенность, а намёк. Вежливость разработчика понятна: когда имеешь дело с государственными структурами, лучше не говорить лишнего.
Фокус атаки в выборочном перенаправлении. Не массированная рассылка, не хаос, а тонкая работа: выдернуть именно тех, кто интересен. Это не выглядит как преступная спонтанность, а как разведывательная операция. Группа действует через инфраструктуру провайдера, не трогая основной сервер. Такая экономия усилий указывает на опыт.
Смена хостинга и внедрение цифровых подписей — стандартный ответ после пожара. Но он не отменяет главного: полгода кто‑то имел доступ к доверенной цепочке обновлений и мог устанавливать что угодно. Привычная программа для редактирования кода стала тихим каналом доступа.
Теперь остаётся только обсуждать, кто именно был «целевым», и делать вид, что подобные истории редкость. Хотя сама структура атаки показывает, что это уже нормальная практика в киберпространстве: использовать чужую инфраструктуру, вмешиваться в обновления, действовать точечно.
Пока пользователи спорят о новых темах оформления редактора, кто‑то другой занимается куда более изобретательными модификациями.
