Popularny edytor tekstu Notepad++ znalazł się w centrum poważnego incydentu z zakresu cyberbezpieczeństwa. Wyniki wewnętrznego śledztwa oraz analiz niezależnych ekspertów wskazują, że za atakiem stali aktorzy państwowi, a celem były wybrane systemy użytkowników korzystających z mechanizmu aktualizacji programu, enguide.pl podaje, powołując się na heise.de.
Sprawa wyszła na jaw po kilku miesiącach od faktycznego rozpoczęcia kampanii. Skala i precyzja działań zaskoczyły nawet doświadczonych specjalistów. Atak nie był masowy, lecz wyjątkowo selektywny.
Przejęcie mechanizmu aktualizacji
Jak wynika z ustaleń, nie doszło do włamania bezpośrednio do kodu źródłowego Notepad++. Atakujący wykorzystali kompromitację infrastruktury hostingowej, co pozwoliło im przechwytywać i przekierowywać ruch aktualizacyjny. W efekcie część użytkowników była kierowana na serwery kontrolowane przez napastników.
Zamiast prawidłowych plików aktualizacji pobierane były zmodyfikowane manifesty, prowadzące do instalacji złośliwego oprogramowania.
„To przykład ataku na poziomie infrastruktury, a nie samej aplikacji” — ocenia specjalista ds. bezpieczeństwa IT.
Kto stał za atakiem
Niezależni badacze bezpieczeństwa są zgodni: charakter kampanii wskazuje na działania sponsorowane przez państwo. Według analiz, ślady techniczne oraz sposób selekcji ofiar sugerują powiązania z chińskimi grupami APT.
Eksperci zwracają uwagę na fakt, że:
- atak był ściśle ukierunkowany,
- nie dotyczył wszystkich użytkowników,
- skupiał się wyłącznie na projekcie Notepad++,
- trwał przez wiele miesięcy bez wykrycia.
Oś czasu incydentu
Śledztwo pozwoliło odtworzyć przybliżony przebieg wydarzeń. Atak rozpoczął się w czerwcu 2025 roku, a jego pełne skutki ujawniono dopiero pod koniec roku.
| Data | Wydarzenie |
|---|---|
| czerwiec 2025 | początek przekierowań aktualizacji |
| wrzesień 2025 | częściowe usunięcie dostępu atakujących |
| listopad 2025 | brak nowych infekcji |
| grudzień 2025 | pełne zabezpieczenie systemów |
Jak długo użytkownicy byli zagrożeni
Choć aktywne infekcje wygasły jesienią, możliwość dalszych ataków istniała aż do początku grudnia. Atakujący zachowali bowiem dostęp do wewnętrznych usług, co umożliwiało im dalsze manipulowanie ruchem sieciowym.
To pokazuje, jak niebezpieczne mogą być nawet krótkotrwałe wycieki poświadczeń w środowiskach hostingowych.
„Utrata dostępu do serwera nie zawsze oznacza koniec zagrożenia” — podkreśla ekspert ds. reagowania na incydenty.
Reakcja twórcy i zmiany w Notepad++
W odpowiedzi na incydent podjęto radykalne działania naprawcze. Strona projektu została przeniesiona do nowego dostawcy hostingu, a sam mechanizm aktualizacji WinGup przeszedł gruntowną modernizację.
Wprowadzono m.in.:
- weryfikację certyfikatów instalatora,
- sprawdzanie podpisów cyfrowych,
- podpisywanie plików XML aktualizacji,
- obowiązkowe kontrole integralności od wersji 8.9.2.
Co powinni wiedzieć użytkownicy
Specjaliści ds. bezpieczeństwa podkreślają, że użytkownicy korzystający z aktualnych wersji Notepad++ nie są obecnie narażeni. Zaleca się jednak zachowanie czujności i regularne instalowanie oficjalnych aktualizacji.
Najważniejsze zalecenia to:
- korzystanie wyłącznie z oficjalnego mechanizmu aktualizacji,
- aktualizacja do najnowszej wersji programu,
- monitorowanie systemu pod kątem nietypowych zachowań,
- unikanie instalacji oprogramowania z nieznanych źródeł.
Szerszy kontekst cyberzagrożeń
Incydent z Notepad++ wpisuje się w rosnący trend ataków na łańcuch dostaw oprogramowania. Coraz częściej celem nie są użytkownicy końcowi, lecz infrastruktura pośrednicząca — serwery aktualizacji, repozytoria czy usługi hostingowe.
Takie ataki są trudniejsze do wykrycia i znacznie bardziej niebezpieczne, ponieważ wykorzystują zaufanie użytkowników do legalnych narzędzi.
Eksperci zgodnie oceniają, że sprawa Notepad++ będzie jeszcze długo analizowana jako przykład zaawansowanej operacji cybernetycznej, a wprowadzone zabezpieczenia mogą stać się nowym standardem dla projektów open source.
