Китайские хакеры полгода перехватывали обновления Notepad++
⟩⟩ Что случилось?
Пока мы спали, выяснились пугающие подробности безопасности народного
редактора Notepad++. Разработчик Дон Хо официально подтвердил: инфраструктура проекта была скомпрометирована. В течение 6 месяцев (с июня по декабрь 2025) механизм обновлений работал на хакеров.
"Атака включала в себя взлом на уровне инфраструктуры.
Компрометация произошла на уровне хостинг-провайдера, а не из-за уязвимостей в самом коде".
Злоумышленники из группировки Violet Typhoon (APT31) связанной с Китаем перехватывали трафик программы обновления WinGUp.
⟩⟩ Шло перенаправление трафика на вредоносные серверы.
Целью были выборочные атаки на финансовый и телеком-сектор в Восточной Азии, но под угрозой были все.
Для устранения угрозы сайт был полностью перенесен на новую платформу со значительно более строгими правилами безопасности. Это позволило окончательно закрыть хакерам доступ к внутренним службам, который они сохраняли даже после первой очистки серверов.
⟩⟩ Проблема с проверкой целостности файлов была решена разработчиками в выпуске версии 8.8.9. В новой обнове механизм WinGUp получил дополнительные средства защиты, исключающие возможность подмены двоичных файлов при перехвате трафика.
• Специалисты по ИБ рекомендуют пользователям, проводившим обновления во второй половине 2025 года, проверить системы на наличие подозрительной активности.
