The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Атака на проект Notepad++, приведшая к выборочной подмене обновлений

02.02.2026 06:59 (MSK)

Разработчики Notepad++, открытого редактора кода для платформы Windows, опубликовали разбор инцидента, в результате которого была скомпрометирована сетевая инфраструктура провайдера и некоторые пользователи Notepad++ получили подменённые исполняемые файлы, загружаемые с использованием системы автоматической доставки обновлений WinGUp.

Атака была проведена через выборочное перенаправление трафика между пользователем и сервером загрузки обновлений. Подмена оказалась возможной из-за уязвимости в механизме верификации и проверки целостности загружаемого обновления. Атакующий, способный вклиниться в транзитный трафик, мог подменить манифест обновления и инициировать вывод запроса на загрузку своего фиктивного обновления и связанных с ним метаданных для проверки целостности.

Дополнительный разбор показал, что атака была реализована на уровне инфраструктуры хостинг-провайдера, что позволило злоумышленникам перехватывать и перенаправлять трафик, адресованный домену notepad-plus-plus.org. Перенаправление осуществлялось выборочно только для определённых пользователей, которым отдавался подменённый манифест с информацией об обновлениях. Первые следы активности атакующих датированы июнем 2025 года, а последние - 10 ноября, но возможность совершения атаки сохранялась до 2 декабря.

Судя по предоставленной провайдером информации, атака стала возможна благодаря взлому сервера совместного хостинга, на котором размещался сайт notepad-plus-plus.org. 2 сентября после обновления ПО лазейка была прикрыта, но атакующие до этого получили учётные данные для подключения к одному из внутренних сервисов, что позволяло им до 2 декабря перенаправлять запросы к скрипту "https://notepad-plus-plus.org/getDownloadUrl.php" на свои серверы. 2 декабря подмена обновлений была замечена и провайдер блокировал доступ атакующих. После инцидента сайт Notepad++ был переведён к другому хостинг-провайдеру, более тщательно заботящемуся о безопасности.

В версии Notepad++ 8.8.9 для блокирования подмены обновлений в состав Notepad++ и WinGUp были добавлены обязательные проверки не только цифровых подписей, но и сертификатов для загружаемых файлов, а также реализована блокировка применения обновления при неудачной проверке. В ожидаемом в течение месяца выпуске 8.9.2 дополнительно будет добавлена проверка цифровой подписи для XML-манифеста (XMLDSig), возвращаемого сервером доставки обновлений.

  1. Главная ссылка к новости (https://notepad-plus-plus.org/...)
  2. OpenNews: Разработчики Xubuntu опубликовали отчёт о взломе сайта Xubuntu.org
  3. OpenNews: Из-за опечатки в настройках атакующие могли подменить DNS-сервер MasterCard
  4. OpenNews: Уязвимости, позволяющие подменить образы и выполнить код на ASU-серверах проекта OpenWrt
  5. OpenNews: Зафиксирован перехват шифрованного трафика jabber.ru и xmpp.ru
  6. OpenNews: SSH-бэкдор, установленный при взломе kernel.org, два года оставался незамеченным
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/64725-notepad
Ключевые слова: notepad, attack
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (40) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Смузихлеб забывший пароль (?), 08:29, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –7 +/
    > Перенаправление осуществлялось выборочно только для определённых пользователей

    Очень интересно, и для каких именно определённых пользователей ?

    В остальном, даже удивительно, что кто-то этим ещё пользуется при существующем вс-коде с горой плагинов и его подобиях

     
     
  • 2.2, Аноним (2), 08:34, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Судя по тому, что они спекулировали заявлениями, что  всё это происки китайских спецслужб, атаковали китайцев.
     
     
  • 3.29, Аноним (29), 10:21, 02/02/2026 Скрыто ботом-модератором     [к модератору]
    		• +1 +/
     
  • 2.4, Тарапунька (-), 08:40, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    VSCode сильно дольше запускается
     
  • 2.10, Sm0ke85 (ok), 09:03, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +4 +/
    >даже удивительно, что кто-то этим ещё пользуется при существующем вс-коде с горой плагинов и его подобиях

    вс-коде - это лагучий веб со всеми вытекающими, нотепад++ - рулит...

     
     
  • 3.12, Аноним (12), 09:22, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    vs-code решили переписать на Rust. Получился zed editor
     
  • 3.14, Аноним (14), 09:32, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > вс-коде - это лагучий

    Как пользователь vscode хочу спросить: а где мне на эти лаги посмотреть?

    Всегда умиляют такие критики, которые рассказывают про лаги при том, что вообще vscode не пользуются.

     
     
  • 4.20, Аноним (20), 09:57, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    Попробуй хоть раз в жизни запустить vscode.
     
     
  • 5.30, 12yoexpert (ok), 10:22, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    просто есть очень медленные люди и люди, привыкшие к тормозному софту. они другого не знают, и им подобное кажется нормальным
     
  • 5.35, Аноним (35), 11:01, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    >> Как пользователь vscode
    > Попробуй хоть раз в жизни запустить vscode

    Чукча не читатель, да?

     
  • 4.31, Аноним (31), 10:27, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    *Сережа, 30 годиков, 64Гб RAM, RTX 5030Ti
     
  • 4.33, Sm0ke85 (ok), 10:35, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    >Как пользователь vscode хочу спросить: а где мне на эти лаги посмотреть?

    На среднестатистической машинке, что маленький или в твоей реальности веб работает быстрее бинарей??

    >Всегда умиляют такие критики, которые рассказывают про лаги при том, что вообще vscode не пользуются.

    Попробовал - покритиковал... С чем ты там поспорить решил...?

     
     
  • 5.34, Аноним (35), 11:00, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > в твоей реальности веб работает быстрее бинарей??

    В моей реальности Electron с нодой вполне себе бинари, написанные на C++ и оптимизированные по самое нехочу. JS там только для скрипттнга испоьзуется.

    >>Всегда умиляют такие критики, которые рассказывают про лаги при том, что вообще vscode не пользуются.
    > Попробовал - покритиковал... С чем ты там поспорить решил...?

    С тем, что ты его пробовал, очевидно. Большинство местных экспертов видят "электрон" или "javascript" - и все как в тумане "ыыы, медленно!".

     
  • 2.11, Аноним (11), 09:05, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +3 +/
    > при существующем вс-коде с горой плагинов

    Это тот самый браузер с функцией редактирования текста и централизованным магазином плагинов, куда загружается малварь под видом популярных тем?

     
  • 2.16, Аноним (14), 09:34, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• –1 +/
    > В остальном, даже удивительно, что кто-то этим ещё пользуется

    Интересно, вюа у этих людей выпадающие менюхи сабжа все еще влазят в экран? В последний раз, когда я его использовал, там такая дичь была, что можно прямо в качестве примера приводить, как не надо делать GUI. Хотя казалось бы - просто навороченый текстовый редактор.

     
  • 2.18, Аноним (18), 09:43, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Не всем нужно писать код в них, кому-то просто нужен лёгкий удобный редактор со вкладками и операциями сразу с несколькими файлами. И эта штука идеально подходит. Всшка, конечно, тоже подошла бы, но она громадная и тормознутая
     
     
  • 3.21, Аноним (20), 09:58, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Есть быстрый и функциональный cudatext.
     
     
  • 4.36, Аноним (36), 11:02, 02/02/2026 Скрыто ботом-модератором     [к модератору]
    		• +/
     
  • 2.22, Аноним (22), 09:58, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Этот ваш вскоде придуман инопланетянами с целью обидного смеха и то что в notepad++ сделано внятно, вскоде делает через ж... одно место с распальцовками для осьминогов (потому что "гора плугинов" в его случае родила мышь, большая часть тех плагинов неюзабельный ломучий  мусор, где что-то все время отваливается при обновлениях, отключение которых каждый раз более другой геморрой).
     

  • 1.3, Аноним (3), 08:37, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Вот и пользуйся васянософтом после этого, хотя редактор хорош
     
     
  • 2.23, Аноним (20), 10:00, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Ты сам знаешь кто является продуктом когда пользуется бесплатным софтом.  
     
  • 2.28, нах. (?), 10:15, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    там у васянов настолько видимо все плохо с вашими донатами, что они держали инфраструктуру для раздачи обновлений на _shared_hosted_ помойке?

    Т.е даже на vps'ку с любимой виндой (чем же еще) у них деньгов не хватило.

    Но виноват конечно провайдер, не заботился об ихний безопастносте.

    Про китайских пользователев особенно занятно, учитывая что в китае, если у тебя все настолько прям плохо что тобой заинтересовались те кто способны на такую тонкую операцию, то к тебе просто придут и засунут нечто толстое куда надо, без всяких сложных ходов. (Хотя... может быть они не отличают китай от тайваня.)

    В общем, история мутная, и я бы на вашем месте переучивался на gvim.

     

  • 1.5, Аноним (5), 08:42, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Что конкретно то подосвывли? Какого типа малварь? Куда - в установщик, в бинарник, в плагины? Списки, хэши, версии? Кому подсовывали? Нихрена не рассказали, долбитесь как хотите. Тоже мне "разбор".
     
  • 1.6, Аноним (-), 08:55, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Так им и надо. Автор этого проекта чокнутый активист.
     
  • 1.7, Аноним (7), 08:58, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Судя по названию сборочек https://notepad-plus-plus.org/downloads/ этот проект давно превратился в политическую трибуну. Так что не удивительно. Кому нужен просто редактор, лучше держаться от него подальше. Как бы чего другого не выкинули.
     
     
  • 2.26, iPony128052 (?), 10:07, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    У них там борьба, а вы про какое-то там секьюрити
     
     
  • 3.37, Аноним (37), 11:07, 02/02/2026 Скрыто ботом-модератором     [к модератору]
    		• +/
     

  • 1.8, ebassi (?), 08:59, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +1 +/
    Поэтому надо сверять хешсуммы на сайте и в файле
     
     
  • 2.13, Аноним (13), 09:24, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Поэтому надо подписывать все релизы цифровой подписью OpenPGP, а разработчикам участвовать в PGP-парти для верификации их публичных ключей по паспорту.
     
  • 2.19, Anonimus (??), 09:56, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    При обновлениях?
    Вроде бы явно написали, что атака была именно на уровне обновления программы через штатные методы (не через удаление + установка по-новой).

    А вообще, несмотря на то, что в своё время notepad++ был (да и по-сути остаётся) одним из лучших текстовых редакторов, из-за политической позиции людей, присвоивших себе Проект, с ним лучше не связываться. Например, официальный сайт не доступен в России, в релизных версиях постоянно имеются политические лозунги, теперь оказывается ещё что при обновлениях была выделена отдельная группа людей для атаки (интересно какая именно?).

    В общем, как всегда, - несмотря на хорошее начало с правильным софтом, если управляющий ведёт "не туда", то из этого мало что хорошего получается.

     

  • 1.9, Bob (??), 09:01, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >Атакующий, способный вклиниться в транзитный трафик
    >атака стала возможна благодаря взлому сервера совместного хостинга

    Может не стоит городить огород и просто юзать github? Ну, если уж win-only софт то пилить...
    >В версии Notepad++ 8.8.9 для блокирования подмены обновлений в состав Notepad++ и WinGUp

    Ща блокнот совсем разжиреет. Чё его вообще патчить, если ломанули Сервак Обнов?!)

     
     
  • 2.15, Аноним (15), 09:33, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Если взломали сервер и раздают что-то некорректно подписанное (отличающейся подписью от ожидаемой), то апдейтер на клиенте откажется устанавливать.
     
     
  • 3.38, Аноним (38), 11:08, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    В теории и ожиданиях
     
  • 3.39, Аноним (37), 11:09, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Это при условии, если до этого скачали нормальную сборку.
     

  • 1.17, Аноним (17), 09:38, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –1 +/
    > Перенаправление осуществлялось выборочно только для определённых пользователей, которым отдавался подменённый манифест с информацией об обновлениях.

    Многое объясняет:
    > Multiple independaent security researchers have assessed that the threat acotor is likely a Chinese state-sponsored group, which would explain the highly selective targeting obseved during the campaign.

     
  • 1.25, Аноним (20), 10:05, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    А что если этот взлом не был случайностью. А некая организация специально заказала протроянить нужных ей людей связанных с ИИ? А авторы проекта выдали это за "конечно же очень случайный взлом" и для вида даже поменяли хостинг. Да не бред какой-то.
     
     
  • 2.41, Аноним (37), 11:11, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    Уже не первый случай такой. Аналогичная ситуация была в прошлом году с npm.
     

  • 1.27, Аноним (27), 10:08, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Выборочная supply-chain атака + длительная скрытность + оценки независимых исследователей ⇒ **типичный профиль государственной китайской APT**, вероятно с фокусом на китайских корпоративных/гос-пользователей.
     
     
  • 2.40, Аноним (38), 11:11, 02/02/2026 [^] [^^] [^^^] [ответить]  
    		• +/
    А что Моссад, ЦРУ и т.п. это не умеют?
     

  • 1.42, Ананоним (?), 11:16, 02/02/2026 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Я помню времена, когда на их сайте были надписи к файлам проверки хешей "для параноиков". Хахаха!
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2026 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру