Grupa APT przejęła infrastrukturę hostingową Notepad++ i dystrybuowała złośliwe aktualizacje od czerwca 2025 rokuDon Ho, twórca popularnego edytora Notepad++, ujawnił właśnie szokujące szczegóły ataku, który trwał niemal pół roku. Hakerzy przejęli mechanizm aktualizacji aplikacji nie przez włamanie do samego kodu, lecz przejmując infrastrukturę dostawcy hostingu. Ofiary były wybierane selektywnie. Atakujący precyzyjnie celowali w konkretnych użytkowników, dostarczając im zainfekowane instalatory pod przykrywką oficjalnych aktualizacji.

Atakujący przejęli infrastrukturę hostingową na poziomie serwera współdzielonego i przez sześć miesięcy selektywnie przekierowywali wybrane aktualizacje Notepad++ do złośliwych serwerów.

Grupa APT przejęła infrastrukturę hostingową Notepad++ i dystrybuowała złośliwe aktualizacje od czerwca 2025 roku [1]

Szef amerykańskiej agencji cyberbezpieczeństwa wgrał wrażliwe dokumenty do publicznej wersji ChatGPT

Kampania hakerów rozpoczęła się w czerwcu 2025 roku i trwała aż do grudnia, kiedy ostatecznie odcięto wszystkie ścieżki dostępu napastników. Serwer współdzielony hostujący skrypt `getDownloadUrl.php`, który jest odpowiedzialny za mechanizm aktualizacji, był bezpośrednio przejęty do 2 września 2025 roku. Chociaż wtedy hakerzy stracili bezpośredni dostęp do maszyny, utrzymali przejęte poświadczenia do usług wewnętrznych dostawcy hostingu, co pozwalało im nadal przekierowywać ruch aktualizacyjny. Dopiero 2 grudnia, po wymianie wszystkich kluczy i przeniesieniu infrastruktury do nowego dostawcy, zamknięto definitywnie furtkę. Według niezależnych analityków bezpieczeństwa, operacja nosi znamiona działań chińskiej grupy APT. Wyjaśnia to selektywne wybieranie oraz inwestycję w długotrwałe przejęcie infrastruktury zamiast prostszych ataków masowych.

Grupa APT przejęła infrastrukturę hostingową Notepad++ i dystrybuowała złośliwe aktualizacje od czerwca 2025 roku [2]

Polska wdraża dyrektywę NIS2. Nowe sektory, zespoły CSIRT i 7 lat na wycofanie sprzętu dostawców wysokiego ryzyka

Najważniejszym problemem, który umożliwił sukces kampanii, była słaba weryfikacja integralności aktualizacji w starszych wersjach programu Notepad++. Updater WinGUp nie sprawdzał wystarczająco podpisów cyfrowych, co pozwalało atakującym wstrzyknąć własne, złośliwe URL-e instalatorów po przejęciu środowiska hostingowego. W reakcji na incydent, w wersji 8.8.9 wdrożono weryfikację zarówno certyfikatu, jak i podpisu pobieranego instalatora. Co więcej, XML zwracany przez serwer aktualizacji jest teraz podpisywany kryptograficznie za pomocą XMLDSig, a egzekwowanie walidacji stanie się obowiązkowe w wersji 8.9.2. Te zmiany przenoszą punkt zaufania z infrastruktury pośredniej bezpośrednio na warstwę kryptograficzną kontrolowaną przez twórców.

Grupa APT przejęła infrastrukturę hostingową Notepad++ i dystrybuowała złośliwe aktualizacje od czerwca 2025 roku [3]

Rosyjska grupa hakerska Sandworm zaatakowała polską sieć energetyczną złośliwym oprogramowaniem DynoWiper

Atak na Notepad++ to groźna reminiscencja podobnych incydentów. Wystarczy przypomnieć CCleaner czy SolarWinds, gdzie również wykorzystano zaufane kanały dystrybucji. W przypadku środowisk deweloperskich stawka jest jednak szczególnie wysoka. Edytory kodu i narzędzia programistyczne mają dostęp do wrażliwych zasobów projektowych, kluczy API czy repozytoriów. Infiltracja takiego narzędzia pozwala napastnikom na długoterminowy, dyskretny dostęp do najbardziej wartościowych aktywów firm. W kontekście nasilającej się aktywności grup APT targetujących łańcuch dostaw, chińskie grupy APT intensyfikują ataki na infrastrukturę krytyczną i narzędzia developerskie. Incydent związany z Notepad++ jest ostrzeżeniem dla całej branży. Użytkownicy, którzy korzystali z Notepad++ między czerwcem a grudniem 2025 roku, powinni zweryfikować bezpieczeństwo swoich systemów i upewnić się, że nie padli ofiarą problematycznych aktualizacji.

Źródło: Notepad++ Official, The Hacker News