Полгода тишины, «куколка» внутри и китайский след. Что известно о масштабном взломе Notepad++
NewsMakerКто на самом деле стоит за взломом популярного редактора?
Исследователи в области кибербезопасности продолжают расследование атаки на популярный текстовый редактор Notepad++, которая оставалась незаметной почти полгода — с июня по декабрь 2025 года. Злоумышленники скомпрометировали хостинг-провайдера, где размещался сайт notepad-plus-plus.org, и получили возможность перехватывать запросы на обновление программы. Вместо настоящих установщиков пользователи получали вредоносные файлы, которые запускались без предупреждений из-за отсутствия полноценной проверки цифровых подписей в старых версиях редактора.
Команда Rapid7 заявила , что «с умеренной степенью уверенности» приписывает взлом китайской хакерской группировке Lotus Blossom, также известной под именами Lotus Panda и Billbug. Эта группировка обычно проводит целевые шпионские кампании против организаций в Юго-Восточной Азии, а в последнее время и в Центральной Америке. В фокусе её внимания находятся правительственные структуры, телекоммуникационные компании, авиация, критическая инфраструктура и медиасектор.
По данным специалистов, хакеры использовали скомпрометированную систему обновлений Notepad++ для распространения ранее неизвестного бэкдора Chrysalis. После проникновения они создали троянскую версию обновления в виде NSIS-установщика — формата, который часто используют китайские хакерские группы для доставки своих вредоносных программ.
Установщик содержал исполняемый файл с именем BluetoothService.exe, который на самом деле представлял собой переименованную легитимную программу Bitdefender Submission Wizard. Её использовали для техники внедрения вредоносных DLL-библиотек — ещё одного излюбленного метода китайских кибершпионов. Также в составе установщика был файл BluetoothService, содержащий зашифрованный шелл-код, и вредоносная DLL-библиотека.
Исследователи в области кибербезопасности продолжают расследование атаки на популярный текстовый редактор Notepad++, которая оставалась незаметной почти полгода — с июня по декабрь 2025 года. Злоумышленники скомпрометировали хостинг-провайдера, где размещался сайт notepad-plus-plus.org, и получили возможность перехватывать запросы на обновление программы. Вместо настоящих установщиков пользователи получали вредоносные файлы, которые запускались без предупреждений из-за отсутствия полноценной проверки цифровых подписей в старых версиях редактора.
Команда Rapid7 заявила , что «с умеренной степенью уверенности» приписывает взлом китайской хакерской группировке Lotus Blossom, также известной под именами Lotus Panda и Billbug. Эта группировка обычно проводит целевые шпионские кампании против организаций в Юго-Восточной Азии, а в последнее время и в Центральной Америке. В фокусе её внимания находятся правительственные структуры, телекоммуникационные компании, авиация, критическая инфраструктура и медиасектор.
По данным специалистов, хакеры использовали скомпрометированную систему обновлений Notepad++ для распространения ранее неизвестного бэкдора Chrysalis. После проникновения они создали троянскую версию обновления в виде NSIS-установщика — формата, который часто используют китайские хакерские группы для доставки своих вредоносных программ.
Установщик содержал исполняемый файл с именем BluetoothService.exe, который на самом деле представлял собой переименованную легитимную программу Bitdefender Submission Wizard. Её использовали для техники внедрения вредоносных DLL-библиотек — ещё одного излюбленного метода китайских кибершпионов. Также в составе установщика был файл BluetoothService, содержащий зашифрованный шелл-код, и вредоносная DLL-библиотека.