Notepad++ frissítési eltérítés: mit tanít a hat hónapos incidens a frissítők bizalmáról?

A Notepad++ azt állítja, hogy a frissítési forgalmát 2025-ben hónapokig eltérítették, a támadók elfogták és szelektíven átirányították egyes felhasználókat rosszindulatú infrastruktúrára. A BleepingComputer jelentése szerint a feltörés 2025 júniusában kezdődött és december 2-án ért véget, miután a tárhelyszolgáltató észlelte a behatolást és levágta a hozzáférést.

Az incidens hasznos emlékeztető arra, hogy a „HTTPS-en keresztüli letöltés” nem egy teljes biztonsági történet. A frissítési rendszereknek erős, végponttól végpontig tartó ellenőrzésre van szükségük – mert a megbízható infrastruktúra lehet az, ami veszélybe kerülhet.

Amit a támadók kihasználtak

A BleepingComputer egy hiányosságot ír le a régebbi Notepad++ verziók frissítés-ellenőrzési vezérlőiben, amely lehetővé teszi a támadók számára, hogy manipulált frissítési manifeszteket szolgáltassanak ki és átirányítsák a letöltéseket.

A kampány állítólag szűk és szelektív volt, összhangban egy olyan szereplővel, akit jobban érdekel a konkrét célpontokhoz való hozzáférés, mint a tömeges terjesztés.

Az idővonal számít:

Kezdeti kompromisszum 2025 júniusában
Ideiglenes fennakadás szeptember elején a kernel/firmware frissítések után
Folyamatos hozzáférés ellopott belső hitelesítő adatokon keresztül december 2-ig

A „hitelesítő adatok túlélték a javítást” lépés egy klasszikus incidensre adott válasz kudarc: a szerver frissítése nem elég, ha a támadónak már vannak kulcsai.

Mit változtatott a Notepad++ az incidens után

A BleepingComputer jelentése szerint a Notepad++ új tárhelyszolgáltatóhoz migrálta az ügyfeleket, lecserélte a hitelesítő adatokat, és javította az ellenőrzést.

A 8.8.9-es verziótól kezdődően, WinGUP:

Ellenőrzi a telepítői tanúsítványokat és aláírásokat
Kriptográfiailag aláírt frissítési XML-t használ

A projekt a 8.9.2-es verzióban a kötelező tanúsítvány-aláírás-ellenőrzés bevezetését is tervezi.

Ez a progresszió – opcionális ellenőrzések → szigorúbb ellenőrzések → kötelező ellenőrzések – pontosan az, ahogyan a szoftverterjesztésnek idővel keményednie kellene.

A rosszindulatú programok nézőpontja: Chrysalis és attribúció

A BleepingComputer a Rapid7 kutatására hivatkozva egy kapcsolódó kampányt egy Lotus Blossom (más álnevekkel is leírva) nevű kínai APT csoportnak, valamint egy „Chrysalis” nevű, egyedi Rapid7 hátsó ajtónak tulajdonít.

Célzott ellátási lánc incidensek esetén a hasznos adat gyakran testreszabott. Ezért a legfontosabb védekezés nem a „pontos kártevő észlelése”, hanem a „jogosulatlan hasznos adat frissítőn keresztüli kézbesítésének megnehezítése”.

Amit a szervezeteknek másképp kellene tenniük

Ha vállalati környezetben kezel szoftvereket, ez az incidens néhány védelmi hibára utal:

Kerüld a fogyasztóknak szánt automatikus frissítőketa kritikus rendszereken, ahol lehetséges.
Használjon felügyelt szoftverterjesztést(aláírt csomagok belső adattárakban, Intune/SCCM stb.).
Aláírások rögzítése és ellenőrzésetelepítők és frissítések esetében.
„Frissítési útvonalak” figyelésekritikus infrastruktúraként: DNS, TLS ellenőrzési szabályzatok, proxy viselkedés és végpontok végrehajtási láncai.

Ha egyéni felhasználó vagy, a gyakorlati lépések egyszerűbbek:

Frissítsen a Notepad++ aktuális verziójára a hivatalos webhelyről
Gyanakodj azokra a frissítési utasításokra, amelyek nem hasonlítanak a szokásos telepítőre
Kerüld a keresési eredmények között azokat a „letöltés most” hirdetéseket, amelyek hivatalos oldalakat utánoznak.

A lényeg

A Notepad++ hat hónapos frissítési támadása nem egyetlen hibáról szólt, hanem a bizalmi határokról. Ha egy támadó meg tudja változtatni a manifest fájlt, vagy az aláírás-ellenőrzések gyengék, a „frissítések” eleve távoli kódfuttatássá válnak. A javítás egy végponttól végpontig tartó ellenőrzés, amelyet nem lehet megkerülni, még akkor sem, ha a tárhelyszolgáltató a tulajdonába kerül.

Források

Document Title
Notepad++ update hijack: what the six-month breach teaches about updater trust	Notepad++ frissítési eltérítés: mit tanít a hat hónapos incidens a frissítők bizalmáról?

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	A BleepingComputer jelentése szerint a Notepad++ frissítési forgalmát 2025-ben eltérítették, szelektív átirányításokkal rosszindulatú szerverekre, majd később egy kínai államhoz köthető szereplőnek tulajdonították. Íme, mi hibázott, mit javítottak ki, és hogyan tudják a szervezetek megerősíteni a szoftverek terjesztését.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Az Admin összes bejegyzésének megtekintése
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	A Microsoft szerint egy Windows frissítési hiba megakadályozhatja a leállítást – mit érint, és hogyan kerülheti el a rendszer
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Az Északi-sarkvidék egyre hangosabb, a narválok pedig egyre csendesebbek: miért fontos a víz alatti zaj?
Page Content
Notepad++ update hijack: what the six-month breach teaches about updater trust	Notepad++ frissítési eltérítés: mit tanít a hat hónapos incidens a frissítők bizalmáról?
Nature
Climate
/
Technology
/ By
Admin
Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.	A Notepad++ azt állítja, hogy a frissítési forgalmát 2025-ben hónapokig eltérítették, a támadók elfogták és szelektíven átirányították egyes felhasználókat rosszindulatú infrastruktúrára. A BleepingComputer jelentése szerint a feltörés 2025 júniusában kezdődött és december 2-án ért véget, miután a tárhelyszolgáltató észlelte a behatolást és levágta a hozzáférést.
The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.	Az incidens hasznos emlékeztető arra, hogy a „HTTPS-en keresztüli letöltés” nem egy teljes biztonsági történet. A frissítési rendszereknek erős, végponttól végpontig tartó ellenőrzésre van szükségük – mert a megbízható infrastruktúra lehet az, ami veszélybe kerülhet.
What the attackers exploited
BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.	A BleepingComputer egy hiányosságot ír le a régebbi Notepad++ verziók frissítés-ellenőrzési vezérlőiben, amely lehetővé teszi a támadók számára, hogy manipulált frissítési manifeszteket szolgáltassanak ki és átirányítsák a letöltéseket.
The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.	A kampány állítólag szűk és szelektív volt, összhangban egy olyan szereplővel, akit jobban érdekel a konkrét célpontokhoz való hozzáférés, mint a tömeges terjesztés.
The timeline matters:
Initial compromise in June 2025	Kezdeti kompromisszum 2025 júniusában
Temporary disruption in early September after kernel/firmware updates	Ideiglenes fennakadás szeptember elején a kernel/firmware frissítések után
Continued access via stolen internal credentials until December 2	Folyamatos hozzáférés ellopott belső hitelesítő adatokon keresztül december 2-ig
That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.	A „hitelesítő adatok túlélték a javítást” lépés egy klasszikus incidensre adott válasz kudarc: a szerver frissítése nem elég, ha a támadónak már vannak kulcsai.
What Notepad++ changed after the incident	Mit változtatott a Notepad++ az incidens után
BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.	A BleepingComputer jelentése szerint a Notepad++ új tárhelyszolgáltatóhoz migrálta az ügyfeleket, lecserélte a hitelesítő adatokat, és javította az ellenőrzést.
Starting with version 8.8.9, WinGUP:	A 8.8.9-es verziótól kezdődően, WinGUP:
Verifies installer certificates and signatures	Ellenőrzi a telepítői tanúsítványokat és aláírásokat
Uses cryptographically signed update XML	Kriptográfiailag aláírt frissítési XML-t használ
The project also plans to enforce mandatory certificate signature verification in version 8.9.2.	A projekt a 8.9.2-es verzióban a kötelező tanúsítvány-aláírás-ellenőrzés bevezetését is tervezi.
That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.	Ez a progresszió – opcionális ellenőrzések → szigorúbb ellenőrzések → kötelező ellenőrzések – pontosan az, ahogyan a szoftverterjesztésnek idővel keményednie kellene.
The malware angle: Chrysalis and attribution	A rosszindulatú programok nézőpontja: Chrysalis és attribúció
BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”	A BleepingComputer a Rapid7 kutatására hivatkozva egy kapcsolódó kampányt egy Lotus Blossom (más álnevekkel is leírva) nevű kínai APT csoportnak, valamint egy „Chrysalis” nevű, egyedi Rapid7 hátsó ajtónak tulajdonít.
In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”	Célzott ellátási lánc incidensek esetén a hasznos adat gyakran testreszabott. Ezért a legfontosabb védekezés nem a „pontos kártevő észlelése”, hanem a „jogosulatlan hasznos adat frissítőn keresztüli kézbesítésének megnehezítése”.
What organizations should do differently	Amit a szervezeteknek másképp kellene tenniük
If you manage software in an enterprise environment, this incident points to a few defensive defaults:	Ha vállalati környezetben kezel szoftvereket, ez az incidens néhány védelmi hibára utal:
Avoid consumer auto-updaters	Kerüld a fogyasztóknak szánt automatikus frissítőket
on critical systems where possible.	a kritikus rendszereken, ahol lehetséges.
Use managed software distribution	Használjon felügyelt szoftverterjesztést
(signed packages in internal repos, Intune/SCCM, etc.).	(aláírt csomagok belső adattárakban, Intune/SCCM stb.).
Pin and verify signatures	Aláírások rögzítése és ellenőrzése
for installers and updates.	telepítők és frissítések esetében.
Monitor “update paths”	„Frissítési útvonalak” figyelése
as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.	kritikus infrastruktúraként: DNS, TLS ellenőrzési szabályzatok, proxy viselkedés és végpontok végrehajtási láncai.
If you’re an individual user, the practical steps are simpler:	Ha egyéni felhasználó vagy, a gyakorlati lépések egyszerűbbek:
Update to a current Notepad++ version from the official site	Frissítsen a Notepad++ aktuális verziójára a hivatalos webhelyről
Be suspicious of update prompts that don’t look like the normal installer	Gyanakodj azokra a frissítési utasításokra, amelyek nem hasonlítanak a szokásos telepítőre
Avoid “download now” ads in search results that mimic official pages	Kerüld a keresési eredmények között azokat a „letöltés most” hirdetéseket, amelyek hivatalos oldalakat utánoznak.
Bottom line
Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.	A Notepad++ hat hónapos frissítési támadása nem egyetlen hibáról szólt, hanem a bizalmi határokról. Ha egy támadó meg tudja változtatni a manifest fájlt, vagy az aláírás-ellenőrzések gyengék, a „frissítések” eleve távoli kódfuttatássá válnak. A javítás egy végponttól végpontig tartó ellenőrzés, amelyet nem lehet megkerülni, még akkor sem, ha a tárhelyszolgáltató a tulajdonába kerül.
Sources
https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/	https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/	https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Az Admin összes bejegyzésének megtekintése
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	A Microsoft szerint egy Windows frissítési hiba megakadályozhatja a leállítást – mit érint, és hogyan kerülheti el a rendszer
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Az Északi-sarkvidék egyre hangosabb, a narválok pedig egyre csendesebbek: miért fontos a víz alatti zaj?
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	A BleepingComputer jelentése szerint a Notepad++ frissítési forgalmát 2025-ben eltérítették, szelektív átirányításokkal rosszindulatú szerverekre, majd később egy kínai államhoz köthető szereplőnek tulajdonították. Íme, mi hibázott, mit javítottak ki, és hogyan tudják a szervezetek megerősíteni a szoftverek terjesztését.

Document Title

Notepad++ update hijack: what the six-month breach teaches about updater trust

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Page Content

Notepad++ update hijack: what the six-month breach teaches about updater trust

Nature

Climate

Technology

/ By

Admin

Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.

The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.

What the attackers exploited

BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.

The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.

The timeline matters:

Initial compromise in June 2025

Temporary disruption in early September after kernel/firmware updates

Continued access via stolen internal credentials until December 2

That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.

What Notepad++ changed after the incident

BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.

Starting with version 8.8.9, WinGUP:

Verifies installer certificates and signatures

Uses cryptographically signed update XML

The project also plans to enforce mandatory certificate signature verification in version 8.9.2.

That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.

The malware angle: Chrysalis and attribution

BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”

In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”

What organizations should do differently

If you manage software in an enterprise environment, this incident points to a few defensive defaults:

Avoid consumer auto-updaters

on critical systems where possible.

Use managed software distribution

(signed packages in internal repos, Intune/SCCM, etc.).

Pin and verify signatures

for installers and updates.

Monitor “update paths”

as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.

If you’re an individual user, the practical steps are simpler:

Update to a current Notepad++ version from the official site

Be suspicious of update prompts that don’t look like the normal installer

Avoid “download now” ads in search results that mimic official pages

Bottom line

Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.

Sources

https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Document Title
Page not found - Florin.blog	Az oldal nem található - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Az oldal nem található - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.	Úgy tűnik, ez az oldal nem létezik.
It looks like the link pointing here was faulty. Maybe try searching?	Úgy tűnik, hogy az ide mutató link hibás volt. Talán próbáld meg keresni?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Amazon partnerként jutalékot kapunk a jogosult vásárlások után – Önnek ez semmilyen többletköltséget nem jelent.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...