Злоумышленники обошли защиту программы: Notepad++ раздавал вредоносный код

Пользователям популярного бесплатного текстового редактора Notepad++ рекомендуется как можно скорее обновить программное обеспечение в связи с серьезной угрозой безопасности. Разработчик приложения Дон Хо официально подтвердил факт взлома, который был обнаружен в конце прошлого года. Злоумышленники использовали уязвимость в функции автоматического обновления программы для скрытного распространения вредоносных файлов, предназначенных для кражу конфиденциальной информации с компьютеров жертв.

Как сообщает американское профильное издание PCMag, хакеры атаковали не сам исходный код редактора, а хостинг-провайдера, обслуживающего официальный домен проекта. Получив контроль над инфраструктурой, киберпреступники смогли перенаправлять запросы на скачивание обновлений на подконтрольные им серверы. Это открыло путь для подмены легитимных установочных пакетов на зараженные версии, которые затем попадали на устройства ничего не подозревающих пользователей.

Основной целью злоумышленников стали пробелы в механизме проверки обновлений, которые присутствовали в устаревших версиях программы. Специалист по кибербезопасности Кевин Бомонт еще в начале декабря предупреждал о данной угрозе, заметив, что механизм автообновления для операционной системы Windows загружал данные с подозрительных адресов. Перехват трафика позволял атакующим изменять адрес загрузки файла, так как система не проводила надежную проверку его подлинности перед установкой.

Согласно полученной информации, компрометация началась еще в июне 2025 года. Разработчик программы со ссылкой на исследователей безопасности заявил, что за инцидентом, предположительно, стоит хакерская группировка, пользующаяся поддержкой китайского государства. Атака носила избирательный характер: ее целями, по словам Дона Хо, стали преимущественно американские организации, тесно сотрудничающие с правительственными структурами КНР, а также компании из сферы телекоммуникаций и финансовых услуг.

Специалисты компании Rapid7 выяснили технические детали работы вредоносного программного обеспечения. Хакеры распространяли файл под названием «update.exe», который создавал скрытую папку на диске и запускал процесс установки бэкдора. Эта шпионская программа позволяла организаторам атаки получать удаленный доступ к компьютеру и тайно похищать файлы, оставаясь незамеченной для владельца системы.