Хакеры уже полгода распространяют вирусы через популярный текстовый редактор Notepad++.
Во второй половине прошлого года киберпреступники взломали сервер, на котором расположен сайт популярного текстового редактора с открытым исходным кодом Notepad++, и распространили среди пользователей программы вредоносные обновления.
По мнению разработчиков Notepad++, хакеры связаны с китайскими властями и сохраняли доступ к ресурсам проекта с июня по декабрь 2025 года. Это «может объяснить избирательный подход к атакам на жертв». Эксперты по кибербезопасности Rapid7 приписали хакерскую атаку группе Lotus Blossom. Жертвами стали организации государственного сектора, телекоммуникаций, авиации, критически важной инфраструктуры и средств массовой информации.
Notepad++ — это старый и популярный проект с открытым исходным кодом, имеющий десятки миллионов загрузок и имеющий базу пользователей по всему миру, состоящую из частных лиц и организаций. В ходе кибератаки хакеры скомпрометировали ряд организаций, «с интересами в Восточной Азии» — все, что для этого потребовалось, — это неосознанно запустить единственный зараженный экземпляр программного обеспечения, сказал эксперт по кибербезопасности Кевин Бомонт, который первым обнаружил нарушение. Судя по всему, хакеры имели «прямой» доступ к компьютерам жертв, на которых использовались взломанные версии Notepad++.
«Точный технический механизм» взлома серверов проекта остается неизвестным, заявили разработчики — расследование инцидента продолжается.
Сайт Notepad++ размещался на сервере с другими проектами. Злоумышленники «нацелились» на домен, связанный с программой, воспользовались уязвимостями в программном обеспечении сервера и перенаправили некоторых пользователей на собственный сервер. Это позволило хакерам распространять вредоносные версии Notepad++. Уязвимость была исправлена в ноябре, но доступ к серверу хакерам был закрыт до начала декабря. Они попытались восстановить доступ, но уязвимость уже была закрыта и попытка не удалась.
Хостинг-провайдер подтвердил, что сервер был скомпрометирован, но не уточнил, как именно хакеры проникли в систему. Разработчики извинились за инцидент и призвали пользователей скачать новую версию Notepad++, закрывшую последние уязвимости.
Пользователям Notepad++ следует обязательно установить последнюю версию программы, в которой все это удалено. Он доступен непосредственно на веб-сайте Notepad++ или в Kaldata. Кроме того, Бомонт советует пользователям дважды проверить, не используют ли они неофициальную версию Notepad++, внимательно следить за активностью «gup.exe», средства обновления приложения, и проверять наличие подозрительного файла «update.exe» или «AutoUpdater.exe» в папке TEMP.
