Compromissione dell'aggiornamento di Notepad++: cosa è successo e cosa dovrebbero fare gli utenti

Notepad++, un editor di testo Windows ampiamente utilizzato, ha segnalato che la sua infrastruttura di aggiornamento è stata compromessa per mesi, consentendo agli aggressori di reindirizzare selettivamente alcuni utenti ad aggiornamenti dannosi. Ars Technica segnala che la compromissione è iniziata a giugno 2025 e che il controllo non è stato completamente ripristinato fino a dicembre.

Si tratta di un classico schema della supply chain: invece di sfruttare direttamente ogni vittima, gli aggressori prendono di mira il percorso di aggiornamento, in modo che il software stesso diventi il veicolo di distribuzione.

Come si è svolto l'attacco

Secondo Ars, gli aggressori hanno ottenuto il controllo "a livello di infrastruttura" che ha permesso loro di intercettare e reindirizzare il traffico di aggiornamento destinato al dominio Notepad++. Invece di colpire ogni utente, il reindirizzamento è stato selettivo, mirato a obiettivi di interesse.

Questa selettività è un indizio importante. Suggerisce che gli aggressori avevano una specifica vittima o stavano cercando di evitare di essere scoperti mantenendo basso il volume dell'infezione.

Perché gli aggiornamenti sono un obiettivo di così alto valore

I meccanismi di aggiornamento automatico sono progettati per fare tre cose pericolose:

Recupera il codice da Internet
Scrivilo su disco
Eseguilo

Questo è esattamente ciò che vuole il malware. L'unica cosa che si frappone tra "aggiornamento" e "infezione" è la verifica.

Se un programma di aggiornamento:

Non utilizza TLS forte in modo coerente
Non verifica correttamente le firme
Si fida di un file manifesto manomissibile

…allora intercettare o reindirizzare il traffico può essere sufficiente per scambiare il payload.

Le specifiche dell'aggiornamento di Notepad++ (e i punti deboli)

Ars descrive un programma di aggiornamento personalizzato (GUP / WinGUP) che:

Segnala la sua versione a un URL di Notepad++
Recupera le istruzioni di aggiornamento da un file XML
Scarica un programma di installazione in una directory temporanea e lo esegue

Il punto debole di molti sistemi è la fase "manifest". Se il manifest può essere sostituito o modificato, l'aggiornamento può essere indirizzato a qualsiasi percorso di download.

Quali versioni dovrebbero avere gli utenti

Il rapporto Ars sottolinea che gli sviluppatori hanno invitato gli utenti ad assicurarsi di utilizzare la versione 8.9.1 o successiva.

Come regola generale in incidenti come questo:

Preferisci l'installazione manuale dal sito ufficiale
Evita i "download mirror" di terze parti e i risultati di ricerca pieni di pubblicità
Trattare le richieste di aggiornamento inaspettatamente temporizzate come sospette

Come valutare la tua esposizione

Potrebbero non esserci indicatori perfetti di compromesso per una campagna mirata, ma è possibile ridurre l'incertezza:

Conferma la versione installatae confrontarlo con le versioni attuali.
Verificare la firma del programma di installazioneper i binari Notepad++ che hai.
Esaminare i registri di sistemaper l'avvio di processi insoliti in prossimità di aggiornamenti (processi di installazione non riconosciuti, chiamate di rete a domini insoliti).
Scansione con EDR/AVin grado di rilevare backdoor note segnalate dagli addetti alla risposta agli incidenti.

Per le organizzazioni è inoltre ragionevole:

Impedisci ai componenti dell'aggiornamento di raggiungere Internet
Utilizzare la distribuzione controllata del software (packaging MSI, repository interni)

Cosa dice questo sulle dipendenze open source

Notepad++ è gratuito, ampiamente utilizzato e spesso sottofinanziato rispetto alla sua importanza. Questa discrepanza si manifesta in infrastrutture fragili e sistemi di aggiornamento personalizzati, non progettati per modelli di minaccia a livello di stato-nazione.

La lezione più ampia non è "non usare l'open source". È che i progetti open source ampiamente utilizzati hanno bisogno di:

Framework di aggiornamento moderni
Revisioni di sicurezza
Finanziamenti per infrastrutture e risposta agli incidenti

In conclusione

Se utilizzi Notepad++, dai per scontato che il canale di aggiornamento fosse una potenziale superficie di attacco nel 2025. Passa a una versione corrente, preferisci installazioni ufficiali/manuali e considera l'integrità dell'aggiornamento (firme e manifesti) come il vero limite di sicurezza.

Fonti

Document Title
Notepad++ updater compromise: what happened and what users should do	Compromissione dell'aggiornamento di Notepad++: cosa è successo e cosa dovrebbero fare gli utenti

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Ars segnala che l'infrastruttura di aggiornamento di Notepad++ è stata compromessa per mesi, reindirizzando selettivamente alcuni utenti ad aggiornamenti dannosi. Ecco come funzionano gli hijack degli aggiornamenti, perché le firme sono importanti e passaggi pratici per verificare i rischi.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Visualizza tutti i post di Admin
Courts let US offshore wind construction resume: what the injunctions signal	I tribunali consentono la ripresa della costruzione di impianti eolici offshore negli Stati Uniti: cosa segnalano le ingiunzioni
Hair samples over a century show how regulations cut lead exposure	Campioni di capelli raccolti in un secolo dimostrano come le normative riducano l'esposizione al piombo
Page Content
Notepad++ updater compromise: what happened and what users should do	Compromissione dell'aggiornamento di Notepad++: cosa è successo e cosa dovrebbero fare gli utenti
Nature
Climate
/
Technology
/ By
Admin
Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.	Notepad++, un editor di testo Windows ampiamente utilizzato, ha segnalato che la sua infrastruttura di aggiornamento è stata compromessa per mesi, consentendo agli aggressori di reindirizzare selettivamente alcuni utenti ad aggiornamenti dannosi. Ars Technica segnala che la compromissione è iniziata a giugno 2025 e che il controllo non è stato completamente ripristinato fino a dicembre.
This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.	Si tratta di un classico schema della supply chain: invece di sfruttare direttamente ogni vittima, gli aggressori prendono di mira il percorso di aggiornamento, in modo che il software stesso diventi il veicolo di distribuzione.
What the attack looked like
According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.	Secondo Ars, gli aggressori hanno ottenuto il controllo "a livello di infrastruttura" che ha permesso loro di intercettare e reindirizzare il traffico di aggiornamento destinato al dominio Notepad++. Invece di colpire ogni utente, il reindirizzamento è stato selettivo, mirato a obiettivi di interesse.
That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.	Questa selettività è un indizio importante. Suggerisce che gli aggressori avevano una specifica vittima o stavano cercando di evitare di essere scoperti mantenendo basso il volume dell'infezione.
Why updaters are such a high-value target	Perché gli aggiornamenti sono un obiettivo di così alto valore
Auto-update mechanisms are designed to do three dangerous things:	I meccanismi di aggiornamento automatico sono progettati per fare tre cose pericolose:
Fetch code from the internet
Write it to disk
Execute it
That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.	Questo è esattamente ciò che vuole il malware. L'unica cosa che si frappone tra "aggiornamento" e "infezione" è la verifica.
If an updater:	Se un programma di aggiornamento:
Doesn’t use strong TLS consistently	Non utilizza TLS forte in modo coerente
Doesn’t verify signatures correctly	Non verifica correttamente le firme
Trusts a tamperable manifest file	Si fida di un file manifesto manomissibile
…then intercepting or redirecting traffic can be enough to swap the payload.	…allora intercettare o reindirizzare il traffico può essere sufficiente per scambiare il payload.
The Notepad++ updater specifics (and the weak points)	Le specifiche dell'aggiornamento di Notepad++ (e i punti deboli)
Ars describes a bespoke updater (GUP / WinGUP) that:	Ars descrive un programma di aggiornamento personalizzato (GUP / WinGUP) che:
Reports its version to a Notepad++ URL	Segnala la sua versione a un URL di Notepad++
Retrieves update instructions from an XML file	Recupera le istruzioni di aggiornamento da un file XML
Downloads an installer to a temp directory and runs it	Scarica un programma di installazione in una directory temporanea e lo esegue
The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.	Il punto debole di molti sistemi è la fase "manifest". Se il manifest può essere sostituito o modificato, l'aggiornamento può essere indirizzato a qualsiasi percorso di download.
What versions users should be on	Quali versioni dovrebbero avere gli utenti
The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.	Il rapporto Ars sottolinea che gli sviluppatori hanno invitato gli utenti ad assicurarsi di utilizzare la versione 8.9.1 o successiva.
As a rule of thumb in incidents like this:	Come regola generale in incidenti come questo:
Prefer manual installation from the official site	Preferisci l'installazione manuale dal sito ufficiale
Avoid third-party “download mirrors” and ad-filled search results	Evita i "download mirror" di terze parti e i risultati di ricerca pieni di pubblicità
Treat unexpectedly timed update prompts as suspicious	Trattare le richieste di aggiornamento inaspettatamente temporizzate come sospette
How to assess your exposure	Come valutare la tua esposizione
There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:	Potrebbero non esserci indicatori perfetti di compromesso per una campagna mirata, ma è possibile ridurre l'incertezza:
Confirm your installed version	Conferma la versione installata
and compare it to current releases.	e confrontarlo con le versioni attuali.
Verify the installer signature	Verificare la firma del programma di installazione
for the Notepad++ binaries you have.	per i binari Notepad++ che hai.
Review system logs	Esaminare i registri di sistema
for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).	per l'avvio di processi insoliti in prossimità di aggiornamenti (processi di installazione non riconosciuti, chiamate di rete a domini insoliti).
Scan with EDR/AV
that can detect known backdoors reported by incident responders.	in grado di rilevare backdoor note segnalate dagli addetti alla risposta agli incidenti.
For organizations, it’s also reasonable to:	Per le organizzazioni è inoltre ragionevole:
Restrict updater components from reaching the internet	Impedisci ai componenti dell'aggiornamento di raggiungere Internet
Use controlled software deployment (MSI packaging, internal repositories)	Utilizzare la distribuzione controllata del software (packaging MSI, repository interni)
What this says about open-source dependencies	Cosa dice questo sulle dipendenze open source
Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.	Notepad++ è gratuito, ampiamente utilizzato e spesso sottofinanziato rispetto alla sua importanza. Questa discrepanza si manifesta in infrastrutture fragili e sistemi di aggiornamento personalizzati, non progettati per modelli di minaccia a livello di stato-nazione.
The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:	La lezione più ampia non è "non usare l'open source". È che i progetti open source ampiamente utilizzati hanno bisogno di:
Modern update frameworks	Framework di aggiornamento moderni
Security reviews
Funding for infrastructure and incident response	Finanziamenti per infrastrutture e risposta agli incidenti
Bottom line
If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.	Se utilizzi Notepad++, dai per scontato che il canale di aggiornamento fosse una potenziale superficie di attacco nel 2025. Passa a una versione corrente, preferisci installazioni ufficiali/manuali e considera l'integrità dell'aggiornamento (firme e manifesti) come il vero limite di sicurezza.
Sources
https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/	https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Visualizza tutti i post di Admin
Courts let US offshore wind construction resume: what the injunctions signal	I tribunali consentono la ripresa della costruzione di impianti eolici offshore negli Stati Uniti: cosa segnalano le ingiunzioni
Hair samples over a century show how regulations cut lead exposure	Campioni di capelli raccolti in un secolo dimostrano come le normative riducano l'esposizione al piombo
Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Ars segnala che l'infrastruttura di aggiornamento di Notepad++ è stata compromessa per mesi, reindirizzando selettivamente alcuni utenti ad aggiornamenti dannosi. Ecco come funzionano gli hijack degli aggiornamenti, perché le firme sono importanti e passaggi pratici per verificare i rischi.

Document Title

Notepad++ updater compromise: what happened and what users should do

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Page Content

Notepad++ updater compromise: what happened and what users should do

Nature

Climate

Technology

/ By

Admin

Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.

This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.

What the attack looked like

According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.

That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.

Why updaters are such a high-value target

Auto-update mechanisms are designed to do three dangerous things:

Fetch code from the internet

Write it to disk

Execute it

That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.

If an updater:

Doesn’t use strong TLS consistently

Doesn’t verify signatures correctly

Trusts a tamperable manifest file

…then intercepting or redirecting traffic can be enough to swap the payload.

The Notepad++ updater specifics (and the weak points)

Ars describes a bespoke updater (GUP / WinGUP) that:

Reports its version to a Notepad++ URL

Retrieves update instructions from an XML file

Downloads an installer to a temp directory and runs it

The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.

What versions users should be on

The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.

As a rule of thumb in incidents like this:

Prefer manual installation from the official site

Avoid third-party “download mirrors” and ad-filled search results

Treat unexpectedly timed update prompts as suspicious

How to assess your exposure

There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:

Confirm your installed version

and compare it to current releases.

Verify the installer signature

for the Notepad++ binaries you have.

Review system logs

for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).

Scan with EDR/AV

that can detect known backdoors reported by incident responders.

For organizations, it’s also reasonable to:

Restrict updater components from reaching the internet

Use controlled software deployment (MSI packaging, internal repositories)

What this says about open-source dependencies

Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.

The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:

Modern update frameworks

Security reviews

Funding for infrastructure and incident response

Bottom line

If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.

Sources

https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Document Title
Page not found - Florin.blog	Pagina non trovata - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Pagina non trovata - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.	Questa pagina sembra non esistere.
It looks like the link pointing here was faulty. Maybe try searching?	Sembra che il link che punta qui sia difettoso. Prova a cercare.
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	: In qualità di affiliato Amazon, guadagniamo dagli acquisti idonei, senza alcun costo aggiuntivo per te.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...