Notepad++ padł ofiarą ataku – aktualizacje mogą być niebezpieczne

Klikasz „Aktualizuj” i zapominasz o sprawie? W Notepad++ ten niewinny rytuał przez pół roku bywał biletem w nieznane – prosto na serwery napastników.

Popularny edytor tekstu padł ofiarą ataku na mechanizm aktualizacji. Według zespołu projektu i zewnętrznych analityków winni są najpewniej hakerzy powiązani z Chinami, którzy między czerwcem a grudniem 2025 r. przekierowywali część użytkowników na fałszywe serwery aktualizacji. Kod Notepad++ nie był zmodyfikowany; problem tkwił w infrastrukturze i w zbyt pobłażliwej weryfikacji plików przez starszy updater. Projekt przeniósł hosting, uszczelnił aktualizator i apeluje: zaktualizujcie się.

To ważny sygnał ostrzegawczy: nawet stare, sprawdzone narzędzia open source potrafią wpaść w kłopoty nie przez własny kod, lecz przez to, co dzieje się „po drodze”. Tu nie było klasycznego zatruwania repozytorium, tylko precyzyjne przekierowania ruchu aktualizacyjnego – atak na łańcuch dostaw w wersji subtelnej i trudnej do wykrycia. I co istotne: wycelowany nie w masę, a w wybranych.

O co chodzi

Zespół Notepad++ przyznał, że „złośliwi aktorzy” potrafili przechwytywać żądania aktualizacji kierowane na domenę projektu i – selektywnie – odsyłać niektórych użytkowników do podstawionych manifestów i instalatorów. To nie była luka w samym edytorze, lecz kompromitacja serwera współdzielonego, na którym działała strona i logika update’u. W grę wchodził m.in. endpoint getDownloadUrl.php – kontrola nad nim pozwalała podsuwać nieprawdziwe adresy pobierania. [2]

Kalendarz jest dość spójny, choć szczegóły różnią się w zależności od źródła. Kompromitacja zaczęła się w czerwcu 2025. 2 września prace serwisowe (aktualizacja kernela i firmware’u) chwilowo odcięły napastników od serwera, ale ci mieli już przejęte wewnętrzne poświadczenia, więc do 2 grudnia wciąż mogli przekierowywać ruch przez zaplecze. Część ekspertów ocenia, że aktywna kampania ustała około 10 listopada, a hosting ostatecznie zablokował dostęp 2 grudnia. Tak czy inaczej – skala była ograniczona i celowana.

Dlaczego to istotne

To nie SolarWinds 2.0, ale lekcja jest podobna: atak na dystrybucję aktualizacji otwiera drogę „do środka” bez wzbudzania alarmu, bo wszystko wygląda jak rutynowy update. Notepad++ to narzędzie z dziesiątkami milionów pobrań, używane w firmach i instytucjach, więc nawet „chirurgicznie” wybrani odbiorcy to poważna sprawa.

Egzemplifikacja w stylu ShadowHammer (Asus, 2018): szerokie dotarcie, wąskie realne cele.

Co wiemy po śladach

• To była operacja na infrastrukturze. Zespół podkreśla, że kod edytora nie został naruszony; problemem były mechanizmy dostarczania update’ów i ich weryfikacja w starych wersjach WinGUp, które nie egzekwowały rygorystycznie podpisów i certyfikatów.
• Ruch aktualizacji był przechwytywany „po drodze”, a redirekty dotyczyły wybranych użytkowników. To typowy atak on-path: trudny do wykrycia, bo po klientowskiej stronie wszystko wygląda „normalnie”.
• W grudniu 2025 r. wydano wersję 8.8.9, która uszczelniła weryfikację: instalatory muszą mieć prawidłowy podpis i certyfikat, a pliki XML manifestów są kryptograficznie podpisane. Dodatkowe twarde kontrole trafiły też do 8.9.1, a w 8.9.2 (zapowiedzianej na ok. miesiąc od ogłoszenia sprawy) ma być wymuszana weryfikacja podpisów certyfikatów. [7]
• Projekt przeniósł stronę i mechanizmy update’u do nowego dostawcy hostingu, wyczyścił i zrotował poświadczenia oraz załatał znalezione słabości. Logi wskazują, że po poprawkach atakujący próbowali jeszcze raz – bez skutku.
• Liczyby ofiar nie podano. Badacz Kevin Beaumont opisywał w grudniu, że zna co najmniej trzy organizacje, które po „zainfekowanej” aktualizacji miały u siebie ręczne rozpoznanie intruza.
• Atrybucja? Kilka zespołów niezależnie wskazuje na grupę sponsorowaną przez Chiny – co współgra z selektywnym doborem celów „z zainteresowaniami w Azji Wschodniej”. Według jednej z analiz kampanię łączy się z grupą znaną jako Lotus Blossom (aka Raspberry Typhoon/Bilbug/Spring Dragon) i świeżo opisaną furtką o nazwie Chrysalis. Dowody to raczej zbieżności infrastrukturalno-operacyjne niż „dymiący pistolet”. [2]

To nie był „masowy strzał”

Kluczowy szczegół: w odróżnieniu od głośnych, rozlanych kampanii, tu mieliśmy precyzję skalpela. Z perspektywy napastników to ma sens: mniej szumu, mniejsze ryzyko wykrycia, większa szansa na wartościowe cele. Dla obrony to koszmar – artefaktów bywa jak na lekarstwo, a komuś, kto raz kliknął „aktualizuj”, trudno wytłumaczyć, że to właśnie ten klik był trojańskim koniem.

Czy można było temu zapobiec? Częściowo tak. Trzymanie projektu tej skali na współdzielonym hostingu, plus zbyt liberalne sprawdzanie pakietów przez stary updater, to mieszanka, która prosi się o kłopoty. Z drugiej strony: to open source, często na wolontariackich zasobach. Brzmi niesprawiedliwie, ale właśnie dlatego standardy weryfikacji aktualizacji muszą być dziś nienegocjowalne.

Co robić teraz

Jeśli używasz Notepad++ – zaktualizuj do najnowszej wersji. Jeżeli w drugiej połowie 2025 r. Twoje środowisko „same z siebie” pobierało update’y starszym WinGUp, zaplanuj przegląd maszyn: szukaj nietypowych połączeń wychodzących, niepodpisanych binariów, zmian w harmonogramie zadań. Analitycy podkreślają, że to była kampania celowana – większości użytkowników nic się nie stało – ale bezpieczeństwo nie znosi zgadywanek.

Nieco mylące, lecz warte odnotowania: w komunikatach pojawiły się też rady o rotacji haseł do SSH/FTP/MySQL i porządkach w WordPressie. To brzmi bardziej jak lista kontrolna dla osób, które miały styczność z tym samym środowiskiem hostingowym niż dla zwykłych użytkowników Notepad++. Jeśli to nie Twój przypadek, trzymaj się fundamentów: aktualizacje, weryfikacja podpisów, monitoring.

Na koniec

Ta historia nie przewraca stolika w świecie open source, ale przypomina, że najciemniej bywa pod latarnią: nie w kodzie edytora, tylko w infrastrukturze dookoła. Klik „Aktualizuj” zostaje – i dobrze – ale może czas nawyknąć do jednego pytania przed kliknięciem: czy na pewno ufam, skąd to przychodzi?

FAQ

Czy muszę zaktualizować Notepad++ po informacji o ataku?

Tak – zainstaluj najnowszą wersję, bo od 8.8.9 weryfikacja aktualizacji jest zaostrzona, a kolejne wydania wzmacniają mechanizmy. To najprostszy sposób, by zamknąć drogę podobnym przekierowaniom.

Które wersje Notepad++ są bezpieczne względem tego incydentu?

Bezpieczniejsze są wydania od 8.8.9 w górę, bo sprawdzają podpisy instalatorów i podpisują kryptograficznie manifesty. Dodatkowe egzekwowanie podpisów certyfikatów ma trafić do 8.9.2.

Jak sprawdzić, czy byłem ofiarą przekierowania aktualizacji Notepad++?

Nie ma publicznie udostępnionych wskaźników kompromitacji – tak, to utrudnia weryfikację. Sprawdź logi sieciowe z okresu VI-XII 2025 i systemy, które aktualizowały Notepad++ wtedy; szukaj niepodpisanych binariów i nietypowych połączeń.

Kiedy wersja 8.9.2 Notepad++ trafi do użytkowników końcowych?

Według zapowiedzi dewelopera, około miesiąc od ogłoszenia sprawy. Daty mogą się zmienić – liczy się egzekwowanie weryfikacji podpisów.

Kto stoi za atakiem na aktualizacje Notepad++?

Najprawdopodobniej grupa sponsorowana przez państwo chińskie – tak ocenia wielu niezależnych badaczy. Szczegóły atrybucji są pośrednie, a liczba ofiar nie została ujawniona.

Źródła

• [1] https://therecord.media/popular-text-editor-hijacked-by-suspected-state-sponsored-hackers
• [2] https://bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
• [3] https://techcrunch.com/2026/02/02/notepad-says-chinese-government-hackers-hijacked-its-software-updates-for-months/
• [4] https://betanews.com/article/notepad-reveals-its-updater-was-hijacked-by-state-sponsored-hackers/
• [5] https://beritaja.com/notepad-says-chinese-government-hackers-hijacked-its-software-updates-for-months-beritaja-403325.html
• [6] https://livemint.com/technology/tech-news/chinese-hackers-exploit-notepad-updater-to-target-select-users-for-months-report/amp-11770051273593.html
• [7] https://cybersecuritynews.com/notepad-hijacked/
• [8] https://gbhackers.com/notepad-users-targeted/
• [9] https://cyberpress.org/state-sponsored-hackers-hijack-notepad-update-servers-to-push-users-to-malicous-sites/