Популярный открытый текстовый редактор Notepad++ стал целью масштабной кибератаки. Злоумышленники получили контроль над сервером, обслуживавшим официальный сайт проекта, и на протяжении почти полугода распространяли заражённые версии программы под видом легитимных обновлений.

Длительный и скрытый характер атаки

По данным разработчиков, несанкционированный доступ сохранялся с июня по декабрь 2025 года. Всё это время часть пользователей загружала модифицированные сборки редактора, содержащие вредоносный код. Выбор жертв носил избирательный характер, что указывает на целенаправленную операцию, а не массовую кампанию.

Кого затронул инцидент

Специалисты по кибербезопасности из компании Rapid7 связали атаку с группировкой Lotus Blossom, которую ряд экспертов ассоциирует с интересами китайских государственных структур.

Среди пострадавших оказались:

• государственные учреждения

• телекоммуникационные компании

• организации авиационного сектора

• объекты критической инфраструктуры

• медиа-организации

Отмечается, что многие жертвы имели деловые или технологические интересы в Восточной Азии.

Минимальное действие — максимальный ущерб

Как пояснил эксперт по кибербезопасности Кевин Бомон, для компрометации системы было достаточно обычного запуска заражённой версии Notepad++. После этого злоумышленники получали прямой удалённый доступ к компьютеру жертвы без дополнительных действий со стороны пользователя.

Это делает атаку особенно опасной: редактор широко используется в корпоративной среде, а его запуск редко вызывает подозрения у сотрудников.

Как была реализована атака

Точный технический механизм проникновения пока не раскрывается. Разработчики Notepad++ подтвердили, что расследование продолжается. Известно лишь, что:

• сайт проекта размещался на сервере совместно с другими ресурсами

• атаке подвергся именно домен Notepad++

• злоумышленники эксплуатировали уязвимости серверного ПО

• часть пользователей перенаправлялась на контролируемый хакерами сервер

В результате вредоносные версии программы выглядели как официальные и распространялись через привычные каналы.

Устранение угрозы

Уязвимость, позволившая атакующим закрепиться в системе, была закрыта в ноябре 2025 года. Однако полный контроль над сервером удалось восстановить лишь в начале декабря. Попытка повторного проникновения со стороны злоумышленников успехом не увенчалась.

Хостинг-провайдер подтвердил сам факт компрометации сервера, но не стал раскрывать детали инцидента.

Реакция разработчиков

Команда Notepad++ принесла публичные извинения пользователям и настоятельно рекомендовала:

• немедленно обновить программу до последней версии

• загрузить установщик исключительно с официального сайта

• при корпоративном использовании провести проверку систем безопасности

В новых сборках редактора закрыты обнаруженные уязвимости и усилены меры защиты инфраструктуры.

Итог

Инцидент с Notepad++ стал наглядным примером того, насколько уязвимыми могут быть даже хорошо известные open-source-проекты. Доверие к популярному инструменту, широкая пользовательская база и редкие обновления у части аудитории сделали атаку эффективной и малозаметной.

Случай подчёркивает необходимость регулярных обновлений, контроля целостности программного обеспечения и повышенного внимания к безопасности даже при использовании проверенных и давно известных инструментов.