Хакеры взломали популярный текстовый редактор Notepad++ и полгода распространяли вирусы с обновлениями
Почему взлом Notepad++ — это урок для всех, кто скачивает обновления: честный разбор
С июня по декабрь 2025 года хакеры распространяли вредоносные версии популярного текстового редактора Notepad++. Взломан сервер, где лежал сайт проекта. Злоумышленники — предположительно группировка Lotus Blossom, связанная с китайскими властями, — атаковали организации правительственного, телекоммуникационного и авиационного секторов, а также объекты критической инфраструктуры и медиа. Один запуск заражённого файла — и компьютер под контролем.
Как это случилось: хроника взлома
Сайт Notepad++ находился на общем сервере с другими проектами. Хакеры «целенаправленно атаковали» домен редактора, эксплуатировали уязвимости серверного ПО и направляли часть пользователей на свой собственный сервер. Оттуда раздавались обновления, содержащие бэкдор. Разработчики закрыли уязвимость в ноябре, но доступ к серверу у злоумышленников оставался до начала декабря. Попытка вернуть контроль провалилась — лазейка уже была заделана. Хостинг-провайдер подтвердил факт взлома, но детали механизма не раскрыл. Расследование продолжается.
Уникальная деталь: взлом длился почти полгода. За это время злоумышленники могли «избирательно» подходить к жертвам — не каждого пользователя перенаправляли на вредоносную версию. Это говорит о высокой степени контроля и целевом характере атаки.
Даже если вы скачиваете программу с официального сайта, вы не защищены на 100%, если сам сайт взломан. Доверяй, но проверяй — вот главный урок этого инцидента.
Как защитить себя: микро-инструкция
Каждый, кто обновлял Notepad++ в период с июня по декабрь 2025, мог стать жертвой. Вот что делать сейчас:
- Проверьте версию: Help → About Notepad++. Последняя безопасная — v8.7.2 (декабрь 2025). Если версия старее или новее, но без официального анонса — удалите.
- Проверьте цифровую подпись: ПКМ на файле → Свойства → Цифровые подписи. Подпись должна быть от «Notepad++» и действительна. Если её нет — программа скомпрометирована.
- Сверивайте хеш-сумму: На официальном сайте разработчик публикует SHA-256 для каждого релиза. Скачайте утилиту для подсчёта хеша (например, certutil -hashfile) и сравните.
- Используйте менеджеры пакетов: Winget, Chocolatey или Scoop автоматически проверяют подлинность через репозитории. Это снижает риск.
Кто стоял за атакой и почему это важно
Специалисты Rapid7 связали инцидент с группировкой Lotus Blossom — известной китайской APT-группой. Разработчики Notepad++ также указывают на «связь с китайскими властями». Атаки такого типа — не разовая акция, а тренд. Когда государственные хакеры взламывают серверы популярного ПО, они получают доступ к тысячам компьютеров. Примеры: SolarWinds (2020), CCleaner (2017). Метод один — атака на цепочку поставок.
Мнение автора: Это не просто «хакеры-одиночки». Пока мы обсуждаем, как удобнее редактировать код, государственные кибергруппы ставят под удар самую основу — доверие к разработчику. Open source не гарантирует безопасность, если код хостится на уязвимом сервере.
Сравнение известных атак на цепочку поставок
| Инцидент | Год | Длительность | Жертвы |
|---|---|---|---|
| Notepad++ | 2025 | ~6 мес. | Госорганы, телеком, авиация, медиа |
| SolarWinds | 2020 | ~9 мес. | Правительства, IT-компании, 18 000 клиентов |
| CCleaner | 2017 | ~1 мес. | 2,27 млн пользователей (целевые — 40 компаний) |
Каждая атака длится месяцами, и обнаруживают её случайно или по поведению бэкдора. В случае Notepad++ первым заметил аномалию эксперт Кевин Бомон.
Личное наблюдение
Я пользуюсь Notepad++ больше 10 лет. Когда новость облетела ленты, первым делом проверил свою версию — повезло, последнее обновление я ставил в мае. Но многие коллеги признались, что даже не знали о взломе. Недавно я заметил: в IT-сообществе почти никто не проверяет цифровые подписи. Привычка «скачать с официального — значит безопасно» оказалась смертельно опасной.
Резюме от автора
Notepad++ остаётся отличным инструментом. Но этот случай напомнил: ни один сервер не защищён на 100%. Мои рекомендации: всегда сверяйте хеши, обновляйте только через проверенные каналы и не игнорируйте предупреждения системы безопасности. Доверие — хорошо, а проверка — лучше.













