Notepad++ アップデートハイジャック：6ヶ月に及ぶ侵害がアップデートの信頼性について教えてくれること

Notepad++によると、2025年に数ヶ月にわたりアップデートトラフィックが乗っ取られ、攻撃者が傍受して一部のユーザーを悪意のあるインフラにリダイレクトしていたという。BleepingComputerによると、この侵害は2025年6月に始まり、ホスティングプロバイダーが侵入を検知してアクセスを遮断した12月2日に終了したという。

この事件は、「HTTPS経由のダウンロード」だけではセキュリティ対策が万全ではないことを改めて認識させてくれる。アップデートシステムには、エンドツーエンドの強力な検証が不可欠だ。なぜなら、信頼しているインフラが侵害を受ける可能性があるからだ。

攻撃者が悪用したもの

BleepingComputer は、古いバージョンの Notepad++ の更新検証制御にギャップがあり、攻撃者が改ざんされた更新マニフェストを提供してダウンロードをリダイレクトできる可能性があると説明しています。

この攻撃は範囲が狭く選択的だったと報告されており、大量配布よりも特定のターゲットへのアクセスを重視する攻撃者の傾向と一致している。

タイムラインは重要です:

2025年6月の最初の妥協
カーネル/ファームウェアのアップデート後、9月初旬に一時的な中断が発生
盗まれた内部認証情報によるアクセスは12月2日まで継続

「資格情報は修復後も存続する」という手順は、典型的なインシデント対応の失敗です。攻撃者がすでにキーを持っている場合、サーバーにパッチを適用するだけでは不十分です。

事件後、Notepad++は何を変わったのか

BleepingComputer は、Notepad++ がクライアントを新しいホスティングプロバイダーに移行し、資格情報をローテーションし、検証を強化したと報告しています。

WinGUP バージョン 8.8.9 以降:

インストーラの証明書と署名を検証します
暗号化署名された更新XMLを使用する

このプロジェクトでは、バージョン 8.9.2 で必須の証明書署名検証を実施することも計画しています。

オプションのチェック → より強力なチェック → 必須のチェックというこの進行こそが、ソフトウェアの配布を時間の経過とともに強化していく方法なのです。

マルウェアの視点：Chrysalisと帰属

BleepingComputer は Rapid7 の調査を参照し、関連キャンペーンが Lotus Blossom (他の別名でも説明されている) として知られる中国の APT グループと、「Chrysalis」と呼ばれる Rapid7 のカスタムバックドアに起因するとしています。

標的型サプライチェーンインシデントでは、ペイロードは多くの場合、特注品です。そのため、重要な防御策は「このマルウェアを正確に検出する」ことではなく、「アップデーターを通じて不正なペイロードを配信することを困難にする」ことです。

組織がすべきこと

企業環境でソフトウェアを管理している場合、このインシデントはいくつかの防御策のデフォルトを指摘しています。

消費者向け自動アップデートを避ける可能な場合は重要なシステムに。
管理されたソフトウェア配布を使用する(内部リポジトリ、Intune/SCCM などの署名済みパッケージ)。
署名をピン留めして検証するインストーラーとアップデート用。
「更新パス」を監視する重要なインフラストラクチャとして: DNS、TLS 検査ポリシー、プロキシの動作、エンドポイント実行チェーン。

個人ユーザーの場合、実際の手順はより簡単になります。

公式サイトから現在のNotepad++バージョンにアップデートする
通常のインストーラーに似ていないアップデートプロンプトには注意してください
検索結果に表示される公式ページを模倣した「今すぐダウンロード」広告を避ける

結論

Notepad++ の6ヶ月に及ぶアップデートハイジャックは、単一のバグではなく、信頼境界に起因していました。攻撃者がマニフェストを改変できたり、署名チェックが脆弱だったりすると、「アップデート」は設計上、リモートコード実行可能となります。この修正は、ホスティングプロバイダーが買収されたとしても回避できない、エンドツーエンドの検証です。

出典

Document Title
Notepad++ update hijack: what the six-month breach teaches about updater trust	Notepad++ アップデートハイジャック：6ヶ月に及ぶ侵害がアップデートの信頼性について教えてくれること

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputerによると、2025年にNotepad++のアップデートトラフィックがハイジャックされ、悪意のあるサーバーへのリダイレクトが行われたとのことです。その後、中国政府系アクターによるものと判明しました。何が失敗し、何が修正され、組織がソフトウェア配布を強化するにはどうすればよいか、以下に解説します。
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	管理者によるすべての投稿を表示
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	マイクロソフトによると、Windows Updateのバグによりシャットダウンができなくなる可能性があるとのこと。影響を受けるものと回避策
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	北極は騒々しく、イッカクは静かになっている：なぜ水中の騒音が重要なのか
Page Content
Notepad++ update hijack: what the six-month breach teaches about updater trust	Notepad++ アップデートハイジャック：6ヶ月に及ぶ侵害がアップデートの信頼性について教えてくれること
Nature
Climate
/
Technology
/ By
Admin
Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.	Notepad++によると、2025年に数ヶ月にわたりアップデートトラフィックが乗っ取られ、攻撃者が傍受して一部のユーザーを悪意のあるインフラにリダイレクトしていたという。BleepingComputerによると、この侵害は2025年6月に始まり、ホスティングプロバイダーが侵入を検知してアクセスを遮断した12月2日に終了したという。
The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.	この事件は、「HTTPS経由のダウンロード」だけではセキュリティ対策が万全ではないことを改めて認識させてくれる。アップデートシステムには、エンドツーエンドの強力な検証が不可欠だ。なぜなら、信頼しているインフラが侵害を受ける可能性があるからだ。
What the attackers exploited
BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.	BleepingComputer は、古いバージョンの Notepad++ の更新検証制御にギャップがあり、攻撃者が改ざんされた更新マニフェストを提供してダウンロードをリダイレクトできる可能性があると説明しています。
The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.	この攻撃は範囲が狭く選択的だったと報告されており、大量配布よりも特定のターゲットへのアクセスを重視する攻撃者の傾向と一致している。
The timeline matters:	タイムラインは重要です:
Initial compromise in June 2025
Temporary disruption in early September after kernel/firmware updates	カーネル/ファームウェアのアップデート後、9月初旬に一時的な中断が発生
Continued access via stolen internal credentials until December 2	盗まれた内部認証情報によるアクセスは12月2日まで継続
That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.	「資格情報は修復後も存続する」という手順は、典型的なインシデント対応の失敗です。攻撃者がすでにキーを持っている場合、サーバーにパッチを適用するだけでは不十分です。
What Notepad++ changed after the incident	事件後、Notepad++は何を変わったのか
BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.	BleepingComputer は、Notepad++ がクライアントを新しいホスティングプロバイダーに移行し、資格情報をローテーションし、検証を強化したと報告しています。
Starting with version 8.8.9, WinGUP:	WinGUP バージョン 8.8.9 以降:
Verifies installer certificates and signatures	インストーラの証明書と署名を検証します
Uses cryptographically signed update XML	暗号化署名された更新XMLを使用する
The project also plans to enforce mandatory certificate signature verification in version 8.9.2.	このプロジェクトでは、バージョン 8.9.2 で必須の証明書署名検証を実施することも計画しています。
That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.	オプションのチェック → より強力なチェック → 必須のチェックというこの進行こそが、ソフトウェアの配布を時間の経過とともに強化していく方法なのです。
The malware angle: Chrysalis and attribution	マルウェアの視点：Chrysalisと帰属
BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”	BleepingComputer は Rapid7 の調査を参照し、関連キャンペーンが Lotus Blossom (他の別名でも説明されている) として知られる中国の APT グループと、「Chrysalis」と呼ばれる Rapid7 のカスタムバックドアに起因するとしています。
In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”	標的型サプライチェーンインシデントでは、ペイロードは多くの場合、特注品です。そのため、重要な防御策は「このマルウェアを正確に検出する」ことではなく、「アップデーターを通じて不正なペイロードを配信することを困難にする」ことです。
What organizations should do differently
If you manage software in an enterprise environment, this incident points to a few defensive defaults:	企業環境でソフトウェアを管理している場合、このインシデントはいくつかの防御策のデフォルトを指摘しています。
Avoid consumer auto-updaters	消費者向け自動アップデートを避ける
on critical systems where possible.	可能な場合は重要なシステムに。
Use managed software distribution	管理されたソフトウェア配布を使用する
(signed packages in internal repos, Intune/SCCM, etc.).	(内部リポジトリ、Intune/SCCM などの署名済みパッケージ)。
Pin and verify signatures	署名をピン留めして検証する
for installers and updates.	インストーラーとアップデート用。
Monitor “update paths”	「更新パス」を監視する
as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.	重要なインフラストラクチャとして: DNS、TLS 検査ポリシー、プロキシの動作、エンドポイント実行チェーン。
If you’re an individual user, the practical steps are simpler:	個人ユーザーの場合、実際の手順はより簡単になります。
Update to a current Notepad++ version from the official site	公式サイトから現在のNotepad++バージョンにアップデートする
Be suspicious of update prompts that don’t look like the normal installer	通常のインストーラーに似ていないアップデートプロンプトには注意してください
Avoid “download now” ads in search results that mimic official pages	検索結果に表示される公式ページを模倣した「今すぐダウンロード」広告を避ける
Bottom line
Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.	Notepad++ の6ヶ月に及ぶアップデートハイジャックは、単一のバグではなく、信頼境界に起因していました。攻撃者がマニフェストを改変できたり、署名チェックが脆弱だったりすると、「アップデート」は設計上、リモートコード実行可能となります。この修正は、ホスティングプロバイダーが買収されたとしても回避できない、エンドツーエンドの検証です。
Sources
https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/	https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/	https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	管理者によるすべての投稿を表示
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	マイクロソフトによると、Windows Updateのバグによりシャットダウンができなくなる可能性があるとのこと。影響を受けるものと回避策
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	北極は騒々しく、イッカクは静かになっている：なぜ水中の騒音が重要なのか
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputerによると、2025年にNotepad++のアップデートトラフィックがハイジャックされ、悪意のあるサーバーへのリダイレクトが行われたとのことです。その後、中国政府系アクターによるものと判明しました。何が失敗し、何が修正され、組織がソフトウェア配布を強化するにはどうすればよいか、以下に解説します。

Document Title

Notepad++ update hijack: what the six-month breach teaches about updater trust

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Page Content

Notepad++ update hijack: what the six-month breach teaches about updater trust

Nature

Climate

Technology

/ By

Admin

Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.

The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.

What the attackers exploited

BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.

The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.

The timeline matters:

Initial compromise in June 2025

Temporary disruption in early September after kernel/firmware updates

Continued access via stolen internal credentials until December 2

That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.

What Notepad++ changed after the incident

BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.

Starting with version 8.8.9, WinGUP:

Verifies installer certificates and signatures

Uses cryptographically signed update XML

The project also plans to enforce mandatory certificate signature verification in version 8.9.2.

That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.

The malware angle: Chrysalis and attribution

BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”

In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”

What organizations should do differently

If you manage software in an enterprise environment, this incident points to a few defensive defaults:

Avoid consumer auto-updaters

on critical systems where possible.

Use managed software distribution

(signed packages in internal repos, Intune/SCCM, etc.).

Pin and verify signatures

for installers and updates.

Monitor “update paths”

as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.

If you’re an individual user, the practical steps are simpler:

Update to a current Notepad++ version from the official site

Be suspicious of update prompts that don’t look like the normal installer

Avoid “download now” ads in search results that mimic official pages

Bottom line

Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.

Sources

https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Document Title
Page not found - Florin.blog	ページが見つかりません - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	ページが見つかりません - Florin.blog
Skip to content
Home
Blog
Garden Decor	ガーデンデコレーション
Indoor
Main Menu
This page doesn't seem to exist.	このページは存在しないようです。
It looks like the link pointing here was faulty. Maybe try searching?	ここへのリンクに問題があるようです。検索してみてください
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Amazonアソシエイトとして、当社は対象となる購入から報酬を得ています。お客様に追加料金はかかりません
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...