Хотели исправить баги, а получили «товарища майора». Всё об атаке на Notepad++
NewsMakerNotepad++ перенес сайт на новую платформу после масштабной атаки на цепочку поставок.
Популярный текстовый редактор Notepad++ почти полгода раздавал пользователям не обновления, а вредоносные файлы. Атака оставалась незаметной с июня по декабрь 2025 года и затронула механизм обновления программы, которой ежедневно пользуются десятки тысяч человек. Вместо исправлений некоторые получали шпионское программное обеспечение.
Разработчик Notepad++ Дон Хо 2 февраля 2026 года раскрыл подробности инцидента. Злоумышленники не взламывали сам проект. Они проникли к хостинг-провайдеру, где размещался сайт notepad-plus-plus.org. Ресурс работал на общем сервере вместе с другими клиентами. После компрометации такого сервера нападающие получили возможность просматривать и подменять проходящий через него трафик.
Система обновления Notepad++ устроена довольно просто. Встроенный модуль запрашивает на сервере небольшой файл с адресом последней версии, затем загружает установщик во временную папку и запускает его. В старых версиях при этом не выполнялась полноценная проверка подлинности файла. Программа фактически доверяла любому полученному установщику и не сверяла цифровую подпись и цепочку сертификатов.
Этим и воспользовались атакующие. Они перехватывали запросы на обновление и подменяли ссылку в ответе сервера. Вместо настоящего установщика пользователю отправляли файл со своего узла. Модуль обновления запускал его без предупреждений, так как не умел отличать подделку от оригинала.
Популярный текстовый редактор Notepad++ почти полгода раздавал пользователям не обновления, а вредоносные файлы. Атака оставалась незаметной с июня по декабрь 2025 года и затронула механизм обновления программы, которой ежедневно пользуются десятки тысяч человек. Вместо исправлений некоторые получали шпионское программное обеспечение.
Разработчик Notepad++ Дон Хо 2 февраля 2026 года раскрыл подробности инцидента. Злоумышленники не взламывали сам проект. Они проникли к хостинг-провайдеру, где размещался сайт notepad-plus-plus.org. Ресурс работал на общем сервере вместе с другими клиентами. После компрометации такого сервера нападающие получили возможность просматривать и подменять проходящий через него трафик.
Система обновления Notepad++ устроена довольно просто. Встроенный модуль запрашивает на сервере небольшой файл с адресом последней версии, затем загружает установщик во временную папку и запускает его. В старых версиях при этом не выполнялась полноценная проверка подлинности файла. Программа фактически доверяла любому полученному установщику и не сверяла цифровую подпись и цепочку сертификатов.
Этим и воспользовались атакующие. Они перехватывали запросы на обновление и подменяли ссылку в ответе сервера. Вместо настоящего установщика пользователю отправляли файл со своего узла. Модуль обновления запускал его без предупреждений, так как не умел отличать подделку от оригинала.