TechCrunch: хакеры месяцами распространяли зараженные версии Notepad++

Разработчики Notepad++ подтвердили компрометацию серверной инфраструктуры проекта. Во второй половине 2025 года злоумышленники получили доступ к серверу, на котором размещался сайт редактора, и распространяли среди пользователей вредоносные обновления, сообщает TechCrunch.

По данным разработчиков, атакующие сохраняли доступ к ресурсам с июня по декабрь 2025 года. Эксперты по кибербезопасности из Rapid7 связывают инцидент с группировкой Lotus Blossom, которую в отрасли ассоциируют с интересами Китая. Среди пострадавших — организации из государственного, телекоммуникационного и авиационного секторов, а также объекты критической инфраструктуры и медиа.

Как отмечает специалист по кибербезопасности Кевин Бомон, для заражения было достаточно запуска одной скомпрометированной версии программы. В результате хакеры получали прямой удаленный доступ к компьютерам жертв, в том числе в организациях, связанных с Восточной Азией.

Разработчики уточняют, что точный технический механизм взлома пока не установлен. Сервер, на котором размещался сайт Notepad++, использовался и для других проектов. Злоумышленники целенаправленно атаковали домен редактора, эксплуатировали уязвимости серверного ПО и перенаправляли часть пользователей на подконтрольный им ресурс для распространения зараженных сборок.

Уязвимость была закрыта в ноябре 2025 года, а полный доступ атакующих к серверу прекращен в начале декабря. Попытки повторного проникновения оказались безуспешными. Хостинг-провайдер подтвердил факт взлома, но не раскрыл детали атаки. Разработчики извинились за инцидент и рекомендовали пользователям обновиться до актуальной версии программы.