Злоумышленники из числа киберпреступников получили несанкционированный доступ к серверу, на котором расположен сайт широко известного текстового редактора с открытым кодом Notepad++. В период с середины и до конца 2025 года они использовали эту возможность для распространения среди пользователей обновлений, содержащих вредоносный код.
Источник изображения: notepad-plus-plus.org
По данным создателей Notepad++, атаковавшие проект лица, предположительно связанные с китайскими государственными структурами, контролировали его ресурсы с июня по декабрь 2025 года. Это обстоятельство, как отмечается, «может прояснить выборочный характер атак на определённые цели». Специалисты по информационной безопасности из Rapid7 связали инцидент с деятельностью группы Lotus Blossom; под удар попали учреждения государственного управления, телекоммуникационные и авиационные компании, объекты важнейшей инфраструктуры, а также медиа-индустрия.
Notepad++ — это давно существующий и крайне популярный проект с открытым исходным кодом; число скачиваний программы достигает десятков миллионов, а её пользователями являются как частные лица, так и корпорации по всему свету. Вследствие этой кибератаки хакеры смогли скомпрометировать ряд организаций, «проявляющих интерес к региону Восточной Азии»; для заражения было достаточно всего лишь «неосознанно запустить одну инфицированную копию приложения», — отметил эксперт по кибербезопасности Кевин Бомон (Kevin Beaumont), первым обнаруживший данный инцидент. У злоумышленников появился «непосредственный» доступ к компьютерам пострадавших, которые использовали скомпрометированные версии Notepad++.
«Точный технический метод», использованный для взлома серверов проекта, пока остаётся невыясненным, сообщила команда разработчиков, — расследование продолжается. Сайт Notepad++ размещался на сервере совместно с другими проектами; злоумышленники «целенаправленно атаковали» домен, связанный с программой, использовали уязвимости в серверном программном обеспечении и перенаправляли часть трафика пользователей на свой собственный сервер. Это позволило им распространять вредоносные сборки Notepad++. Уязвимость была устранена в ноябре, однако полный доступ к серверу злоумышленники потеряли только в начале декабря. Они предприняли попытку вернуть контроль, но уязвимость к тому моменту уже была закрыта, и их замысел провалился.
Компания-хостингпровайдер подтвердила факт компрометации сервера, но не раскрыла деталей о способе проникновения злоумышленников. Разработчики принесли извинения за произошедшее и рекомендовали всем пользователям загрузить актуальную версию Notepad++, в которой исправлены все недавно обнаруженные уязвимости.
