02.02.2026 12:22
tommyangelo27 22 15000 Источник

Как следует из официального сообщения разработчика программы, сервер обновлений Notepad++ был скомпрометирован на уровне инфраструктуры хостинг-провайдера. Это позволило злоумышленникам перехватывать и перенаправлять трафик обновлений на контролируемый ими сервер, без необходимости взлома репозитория Notepad++.

Хакеры выдавали себя за официальный механизм обновления и для отдельных, «интересных» жертв отдавали поддельные манифесты, которые вели к установке зараженных версий Notepad++.

Проблема оказалась долгоиграющей: пользователи находились под угрозой почти полгода. Всё началось ещё в июне 2025-го, а окончательно выгнать хакеров удалось только 2 декабря. Сначала злоумышленники напрямую контролировали сервер, отвечающий за выдачу ссылок на обновления. В сентябре прямой доступ им закрыли, но они не ушли, а продолжили пользоваться украденными паролями от внутренних сервисов хостинга. Хотя эксперты считают, что активность хакеров затихла к середине ноября, официально «периодом риска» считается всё время с июня по декабрь.

Хостинг-провайдер подтвердил: это была не случайная массовая атака, а «снайперский» взлом. Хакеры не трогали других клиентов, их целью был исключительно домен notepad-plus-plus.org. Успех обеспечило фатальное совпадение: дыры в защите хостинга (незакрытые уязвимости и ошибки конфигурации) наложились на слабые места в старых версиях самого Notepad++. В программе просто не было надежной проверки получаемых обновлений, поэтому хакеры смогли легко подменять ссылки на скачивание и незаметно хозяйничать в системе долгие месяцы.

Создатель Notepad++ подчёркивает: почерк атаки указывает на профессиональных шпионов, вероятно, ассоциированных с правительством Китая. Это объясняет, почему атака была точечной: злоумышленники не пытались заразить всех подряд, а охотились за конкретными пользователями. Для них Notepad++ стал идеальной «отмычкой» - через этот популярный инструмент разработчиков они могли проникнуть в закрытые сети крупных компаний и госучреждений.

После того как взлом вскрылся, за дело взялась команда специалистов по кибербезопасности. Старый хостинг начал «генеральную уборку»: перенес данные на новые чистые серверы, закрыл дыры в защите, сменил все пароли и проверил другие системы на следы хакеров. Но создатель Notepad++ решил не испытывать судьбу дважды и просто переехал к другому провайдеру, у которого стандарты безопасности повыше :-)

Со своей стороны, сам создатель Notepad++ принёс глубочайшие извинения и поработал над механизмом обновления. Теперь программа не просто скачивает файл, а тщательно проверяет его цифровой паспорт и подпись. Более того, начиная с версии 8.9.2, эти проверки станут обязательными - если файл хоть немного подозрителен, обновление не установится. Идея проста: перестать слепо доверять хостингу или каналам связи.

Если вы или ваши сотрудники обновляли Notepad++ в период с июня по декабрь 2025 года, риск заражения вполне реален. Самое коварное здесь то, что вирус пришел через официальный канал, которому все привыкли доверять. Сейчас самое время проверить рабочие станции и убедиться, что подозрительных обновлений не было.

Комментарии (22)


  1. backfield9818
    02.02.2026 13:00
    #29470394

    При обновлении через winget ссылки вроде не должны были подменяться?


    1. vesper-bot
      02.02.2026 13:00
      #29470472

      если вы winget'ом получали сразу бандл (инсталлер или портабл-версию), то вероятно нет, так как сказано, что подменялись манифесты. Но для приличия проверить полученный инсталлер всё равно стоит.


      1. backfield9818
        02.02.2026 13:00
        #29472922

        Да, там и hash проверяется, и взломать MS куда труднее, чем сайт разработчика. Кстати, сталкивался с тем, что winget ругался на hash. Резюме: в наше время winget самый правильный и безопасный способ обновления.


  1. Kahelman
    02.02.2026 13:00
    #29470752

    О сколько раз твердили миру…

    Ставим Linux обновляемся из репозитория. Проблема решена. Репозитарии линукса китайские товарищи не взламывают …..


    1. JuryPol
      02.02.2026 13:00
      #29471066

      Ставим Linux обновляемся из репозитория. Проблема решена.

      Остальной набор рабочего софта выкинуть?

      И сильно напоминает концовку старого анекдота

      И ответил филин:- Вы меня фигней не грузите, я стратегией занимаюсь...


      1. Kahelman
        02.02.2026 13:00
        #29474254

        Вопрос не про замену windows на Linux, а про то что есть решения, в случае Дебиана управляемые исключительно комьюникт- за ним не стоит ни одна корпорация, и эти решения обеспечивают надежность на достаточно длительном интервале времени.

        Но вместо того чтобы использовать наработанный опыт мы изобретаем велосипед причём с кривыми колёсами.


    1. baldr
      02.02.2026 13:00
      #29471136

      Проблема решена.

      Наверное вы не слышали про взлом kernel.org в 2011г? Или про XZ-Utils бэкдор для ssh (из репозитория). В AUR репозитории недавно тоже что-то находили, вроде бы.


      1. Shaman_RSHU
        02.02.2026 13:00
        #29471262

        AUR не имеет никакого отношения к официальным репозиториям дистрибуутива. Использовать AUR нужно с головой. А так и вилкой можно глаз поранить :)


    1. alexandr93
      02.02.2026 13:00
      #29477890

      В 2016 взломали сайт Линукс минта, подложили образ с вирусом и мой пароль от джимейла подрезали. Теперь я иногда регистрируюсь на сайтах и использую старый пароль, мне пишут, мол этот пароль у вас уже был скомпрометирован.


  1. AlexeyP2026
    02.02.2026 13:00
    #29471014

    как проверить? антивирусом? Касперский определит?


    1. tommyangelo27 Автор
      02.02.2026 13:00
      #29471358

      Я нигде не видел описания, что конкретно получали пользователи. Только сообщение о том, что версия была подменена на взломанную.

      По сути, это может быть что угодно. Суть в том, что юзер своими руками запускает приложение из неизвестного источника, думая, что обновляет N++.


  1. dmitrybarabash
    02.02.2026 13:00
    #29471730

    Речь про автоматическое обновление? Или 7z-архивы для обновления руками тоже подменяли?


    1. tommyangelo27 Автор
      02.02.2026 13:00
      #29472356

      Автоматическое. Злоумышленники внесли изменения в скрипт, обрабатывающий запросы на обновление и подменяли адрес для скачивания бинаря.


  1. PressXToWin
    02.02.2026 13:00
    #29473566

    Разработчики notepad++ любят включать в чейнджлоги политические манифесты. Право на свободу выражения мнения никто не отменял, однако ж лично я считаю что это дополнительная мотивация для злоумышленника нагадить продукту. Политически мотивированный хакер искал как задефейсить сайт, а нашёл дыру в механизме обновлений. И вот он уже включает в следующий апдейт стилер/шифровальщик/банальный "rm -rf /" просто потому что эти безответственные люди пишут что X - плохо, когда любой сознательный гражданин знает, что X - хорошо. Значит и пользуются этим продуктом будут только такие же безответственные, которых стоило бы проучить.

    Так что я, в целях безопасности там, где это возможно стараюсь избегать софта, разработчики которого слишком активно делают политические заявления, вне зависимости от того, насколько лично я их заявления одобряю.


    1. Kenya-West
      02.02.2026 13:00
      #29473804

      Минус 95% софта, минус весь Windows, минус весь Linux... да, тяжело вам придётся. Соболезновать не буду, времени нет. Мне деньги зарабатывать надо, а не следить за тем, что сказал тот или иной разраб.


      1. PressXToWin
        02.02.2026 13:00
        #29474074

        Во-первых, я явно выразился: "там, где это возможно". Во-вторых, если Вася Пупкин работает в условной Арасаке и постит в своём твиттере политоту - это мнение лишь Васи Пупкина, а не Арасаки, вне зависимости кем он там работает: СЕО или уборщиком. А вот если политические манифесты вложены в чейнджлог, это уже мнение всей Арасаки, и вот тут уже стоит задуматься о том, насколько такой софт может стать угрозой безопасности пользователя. Признаю, конкретно в этой части мой изначальный коммент можно было понять двояко. В-третьих, по вышеприведённым ссылкам я откровенной политоты не вижу. Статья с ресурса майкрософта гораздо больше о миграции в облако, а вторая - это как раз личное мнение мейнтейнера. Ну и в-четвёртых, я больше говорю о том, что политизация продукта обычно (за очень редким исключением) обычно вредит как продукту, так и пользователю. Те, кто не поддерживают манифест, так и продолжат его не поддерживать, однако деньги могут перестать приносить. А те, кто поддерживают, вряд ли исключительно из-за столь милой их сердцу политической позиции увеличат доход на сумму свыше статистической погрешности.


      1. KN_Dima
        02.02.2026 13:00
        #29474090

        Если не следить, то можно как раз на деньги и влететь.


    1. dartraiden
      02.02.2026 13:00
      #29478338

      В данном случае это вас никак не спасло бы.

      Судя по имеющимся данным, Notepad++ был выбран атакующими из-за его популярности и слабой защиты, а атака шла выборочно на определенных пользователей. Люди, которые этим занимаются (хакеры на службе того или иного государства), не размениваются на такую ерунду, как "захотели дефейснуть сайт из-за лозунгов" и цели свои в виде конкретных людей они определили заранее, а уже дальше стали подбирать софт, через который удобно зайти.


  1. BorisDNK
    02.02.2026 13:00
    #29480754

    Похоже у меня был давно китайский notepad++ :)
    Проверил, там политические лозунги


  1. LinkToOS
    02.02.2026 13:00
    #29480930

    Ничего не понял - ни про число жертв, ни про момент обнаружения взлома, ни про момент устранения опасности.

    Полгода хакеры сохраняли доступ к ресурсам проекта Npp, до того как их наконец изгнали. Их не могли изгнать полгода, или не могли обнаружить? А сколько времени автообновление приводило к заражению? Все эти полгода?

    Судя по описанию, жертвами стали серьезные организации. У которых по идее должны быть серьезные службы ИБ. Это вообще ни в какую логику не укладывается.

    Npp обычно пользуются программисты в основном. Никто ничего не заметил?

    Это какой-то позор.