Процесс обновления Notepad++ был перехвачен для доставки вредоносного ПО целевым пользователям, заявили разработчик и исследователи

Париж, Франция. Связанная с Китаем группа кибершпионажа взломала процесс обновления платформы для редактирования кода Notepad++, чтобы предоставить пользовательский бэкдор и другие вредоносные программы целевым пользователям, сообщили разработчик программы и исследователи кибербезопасности.

Разработчик Notepad++ Дон Хо сообщил в понедельник в своем блоге, что “злоумышленники” нацелились на процесс обновления для “определенных целевых пользователей”, начиная с июня 2025 года. Хо сказал, что хакеры имели доступ к серверу, на котором размещались обновления Notepad++, до 2 сентября 2025 года, но сохраняли учетные данные для доступа к некоторым сервисам хостинга до 2 декабря 2025 года.

Было неясно, на каких пользователей Notepad++ они были нацелены и сколько их было. Хо сообщил в электронном письме, что у него нет информации о том, сколько вредоносных обновлений было загружено, и что атака была очень избирательной, что указывает на преднамеренный таргетинг, а не на широкое распространение.

В блоге Хо появилось сообщение от его хостинг-провайдера, в котором говорилось, что сервер, используемый для доставки обновлений клиентам, “мог быть взломан” и что хакеры специально атаковали домен, связанный с Notepad++.

Данные о регистрации в Интернете показывают, что до 21 января домен размещался у литовского хостинг-провайдера Hostinger, что он подтвердил в электронном письме. Hostinger не сразу ответил на запрос о комментариях.

Компания по кибербезопасности Rapid7 в своем блоге в понедельник приписала эту кампанию связанной с Китаем группе кибершпионажа, известной как Lotus Blossom. Rapid7 сообщает, что группа действует с 2009 года и исторически нацеливалась на правительственные, телекоммуникационные, авиационные, критически важные объекты