Исследователи кибербезопасности объявили, что механизм автоматического обновления популярного текстового редактора с открытым исходным кодом “Notepad++” был скомпрометирован в результате длительного внешнего вмешательства.
Согласно информации, предоставленной Службой электронной безопасности Elchi.az, они оценивают этот инцидент как атаку на цепочку поставок программного обеспечения.
Сообщается, что в исследовании, опубликованном “Securelist”, говорится, что атака началась летом 2025 года и продолжалась несколько месяцев. В течение этого времени часть пользователей “Notepad++” получала вредоносные файлы вместо официальных обновлений. Злоумышленники вмешивались не в сам исходный код программы, а в инфраструктуру, поддерживающую механизм ее обновления.
Согласно исследованию, вредоносные обновления были нацелены только на избранных пользователей. Среди пострадавших от атаки были отдельные пользователи, компании, работающие в сфере информационных технологий, финансовые учреждения и государственные структуры, расположенные в разных странах. Это указывает на целенаправленный характер атаки.
Во время атаки через механизм, используемый программой “Notepad++” для обновлений, в системы пользователей были загружены дополнительные вредоносные компоненты. Эти компоненты могли собирать информацию о системе, передавать ее на удаленные серверы и впоследствии выполнять дополнительные команды.
Эксперты отмечают, что основная опасность таких атак заключается в том, что они могут продолжаться длительное время, оставаясь незамеченными. Поскольку атаки на цепочку поставок осуществляются через программное обеспечение, которому доверяют пользователи, они могут быть обнаружены традиционными инструментами безопасности с опозданием.
После обнародования инцидента разработчики проекта “Notepad++” усилили меры безопасности в инфраструктуре обновления. В новых версиях проверка криптографических подписей файлов обновления стала обязательной, а подозрительные механизмы обновления были устранены.
Специалисты по кибербезопасности рекомендуют пользователям загружать программу “Notepad++” только из официальных источников, обращать внимание на процессы автоматического обновления и немедленно принимать меры при обнаружении необычной активности в своих системах.
Отмечается, что этот инцидент еще раз показывает, насколько уязвима цепочка поставок программного обеспечения и что даже широко распространенные программы могут стать эффективной целью для кибератак.