Разработчик Notepad++ официально подтвердил, что за перехватом трафика обновлений редактора, продолжавшимся почти полгода, с высокой вероятностью стояли злоумышленники, связанные с китайским государством.
Атака заключалась в перехвате и выборочной подмене запросов на обновление: отдельные пользователи перенаправлялись на вредоносные серверы, которые отдавали поддельные манифесты обновлений. Это стало возможным из-за уязвимости в механизмах проверки обновлений в старых версиях Notepad++.
В расследовании участвовали независимые специалисты по безопасности, которые установили, что атака началась в июне 2025 года. При этом она имела узконаправленный характер — вредоносная инфраструктура использовалась только для перенаправления ограниченного круга пользователей.
Исследователь безопасности Кевин Бомонт предупреждал, что ему известно как минимум о трех организациях, пострадавших от перехвата обновлений, после чего в их сетях фиксировалась активная разведывательная деятельность злоумышленников.
Notepad++ — это бесплатный редактор исходного кода с открытым исходным кодом, широко используемый в Windows, с десятками миллионов пользователей по всему миру.
В начале сентября атакующие временно потеряли доступ после обновления ядра и прошивки сервера. Однако они смогли восстановить контроль, используя ранее скомпрометированные внутренние учетные данные, которые не были своевременно заменены.
Атака продолжалась до 2 декабря 2025 года, когда хостинг-провайдер окончательно обнаружил компрометацию и отключил доступ злоумышленников.
После инцидента Notepad++:
Начиная с версии Notepad++ 8.8.9, WinGUp проверяет сертификаты и цифровые подписи установщиков, а файл обновлений XML теперь криптографически подписан. В версии 8.9.2, выход которой ожидается примерно через месяц, планируется обязательная проверка подписи сертификатов.
По его словам, в логах были обнаружены признаки вторжения, однако конкретных IoC выявить не удалось, а получить их от бывшего хостинг-провайдера также не получилось.
При этом исследователи Rapid7 связали кампанию с китайской APT-группой Lotus Blossom (также известной как Raspberry Typhoon, Bilbug и Spring Dragon). По их данным, злоумышленники использовали ранее не задокументированный бэкдор, получивший название Chrysalis.
Исследователи считают Chrysalis высокоразвитым инструментом, предназначенным для постоянного присутствия в системе жертвы. Однако они отмечают, что не нашли однозначных артефактов, подтверждающих эксплуатацию именно механизма обновлений.
Update [3 февраля]: уточнено, что рекомендации хостинг-провайдера были адресованы разработчику Notepad++, а не конечным пользователям.
Источник
Атака заключалась в перехвате и выборочной подмене запросов на обновление: отдельные пользователи перенаправлялись на вредоносные серверы, которые отдавали поддельные манифесты обновлений. Это стало возможным из-за уязвимости в механизмах проверки обновлений в старых версиях Notepad++.
Как проходила атака
По данным хостинг-провайдера, обслуживавшего инфраструктуру обновлений, журналы указывают на компрометацию сервера, связанного с системой обновлений Notepad++.В расследовании участвовали независимые специалисты по безопасности, которые установили, что атака началась в июне 2025 года. При этом она имела узконаправленный характер — вредоносная инфраструктура использовалась только для перенаправления ограниченного круга пользователей.
Злоумышленники целенаправленно атаковали домен Notepad++, используя недостатки проверки подлинности обновлений, присутствовавшие в устаревших версиях приложения."Несколько независимых исследователей в области безопасности пришли к выводу, что за атакой, вероятно, стоит китайская государственная APT-группа, что объясняет крайне избирательный характер кампании", — говорится в заявлении Notepad++.
Реакция разработчиков и устранение уязвимости
В декабре Notepad++ выпустил версию 8.8.9, в которой была устранена уязвимость в инструменте обновлений WinGUp. Ранее несколько исследователей сообщили, что механизм обновления мог получать вредоносные пакеты вместо легитимных.Исследователь безопасности Кевин Бомонт предупреждал, что ему известно как минимум о трех организациях, пострадавших от перехвата обновлений, после чего в их сетях фиксировалась активная разведывательная деятельность злоумышленников.
Notepad++ — это бесплатный редактор исходного кода с открытым исходным кодом, широко используемый в Windows, с десятками миллионов пользователей по всему миру.
Компрометация хостинга и повторный доступ атакующих
Как пояснил разработчик, атака стала возможной после компрометации хостинг-провайдера в июне 2025 года, что позволило злоумышленникам выполнять целевые перенаправления трафика.В начале сентября атакующие временно потеряли доступ после обновления ядра и прошивки сервера. Однако они смогли восстановить контроль, используя ранее скомпрометированные внутренние учетные данные, которые не были своевременно заменены.
Атака продолжалась до 2 декабря 2025 года, когда хостинг-провайдер окончательно обнаружил компрометацию и отключил доступ злоумышленников.
Принятые меры безопасности
После инцидента Notepad++:
- перенес инфраструктуру обновлений к новому хостинг-провайдеру с усиленными мерами безопасности;
- сменил все учетные данные, которые могли быть скомпрометированы;
- устранил использованные уязвимости;
- провел детальный анализ журналов, подтвердив прекращение вредоносной активности.
Начиная с версии Notepad++ 8.8.9, WinGUp проверяет сертификаты и цифровые подписи установщиков, а файл обновлений XML теперь криптографически подписан. В версии 8.9.2, выход которой ожидается примерно через месяц, планируется обязательная проверка подписи сертификатов.
Связь с APT Lotus Blossom
Издание BleepingComputer запросило у основного разработчика Notepad++ Дона Хо индикаторы компрометации (IoC), которые могли бы помочь пользователям определить, затронула ли их атака.По его словам, в логах были обнаружены признаки вторжения, однако конкретных IoC выявить не удалось, а получить их от бывшего хостинг-провайдера также не получилось.
При этом исследователи Rapid7 связали кампанию с китайской APT-группой Lotus Blossom (также известной как Raspberry Typhoon, Bilbug и Spring Dragon). По их данным, злоумышленники использовали ранее не задокументированный бэкдор, получивший название Chrysalis.
Исследователи считают Chrysalis высокоразвитым инструментом, предназначенным для постоянного присутствия в системе жертвы. Однако они отмечают, что не нашли однозначных артефактов, подтверждающих эксплуатацию именно механизма обновлений.
"Единственное подтвержденное поведение — запуск notepad++.exe и затем GUP.exe, после чего выполнялся подозрительный процесс update.exe", — сообщили в Rapid7.
Обновления материала
Update [2 февраля]: в статью добавлены комментарии Дона Хо и детали расследования Rapid7.Update [3 февраля]: уточнено, что рекомендации хостинг-провайдера были адресованы разработчику Notepad++, а не конечным пользователям.
Источник
