„Notepad++“ atnaujinimo užgrobimas: ko šešių mėnesių pažeidimas moko apie atnaujinimų pasitikėjimą

„Notepad++“ teigia, kad 2025 m. kelis mėnesius buvo užgrobtas jos atnaujinimų srautas, užpuolikai perėmė duomenis ir selektyviai nukreipė kai kuriuos vartotojus į kenkėjišką infrastruktūrą. „BleepingComputer“ praneša, kad įsilaužimas prasidėjo 2025 m. birželį ir baigėsi gruodžio 2 d., kai prieglobos paslaugų teikėjas aptiko pažeidimą ir nutraukė prieigą.

Šis incidentas yra naudingas priminimas, kad „atsisiuntimas per HTTPS“ nėra išsami saugumo istorija. Atnaujinimų sistemoms reikalingas stiprus, visapusiškas patikrinimas, nes infrastruktūra, kuria pasitikite, gali būti pažeista.

Kuo pasinaudojo užpuolikai

„BleepingComputer“ aprašo senesnių „Notepad++“ versijų atnaujinimų tikrinimo valdiklių spragą, leidžiančią užpuolikams pateikti suklastotus atnaujinimų aprašus ir peradresuoti atsisiuntimus.

Pranešama, kad kampanija buvo siaura ir selektyvi, atitinkanti veikėjo, kuriam labiau rūpi prieiga prie konkrečių taikinių, o ne masinis platinimas, elgesį.

Laiko juosta svarbi:

Pradinis kompromisas 2025 m. birželio mėn.
Laikini sutrikimai rugsėjo pradžioje po branduolio / programinės įrangos atnaujinimų
Prieiga per pavogtus vidinius prisijungimo duomenis tęsiama iki gruodžio 2 d.

Tas žingsnis „įgaliojimai išliko po taisymo“ yra klasikinė incidento reagavimo klaida: serverio pataisymo nepakanka, jei užpuolikas jau turi raktus.

Ką „Notepad++“ pakeitė po incidento

„BleepingComputer“ praneša, kad „Notepad++“ perkėlė klientus pas naują prieglobos paslaugų teikėją, pakeitė prisijungimo duomenis ir patobulino patvirtinimą.

Nuo 8.8.9 versijos, „WinGUP“:

Tikrina montuotojo sertifikatus ir parašus
Naudoja kriptografiškai pasirašytą atnaujinimo XML

Projekte taip pat planuojama 8.9.2 versijoje įdiegti privalomą sertifikatų parašų tikrinimą.

Toks progresavimas – pasirenkami patikrinimai → griežtesni patikrinimai → privalomi patikrinimai – yra būtent tai, kaip programinės įrangos platinimas turėtų laikui bėgant griežtėti.

Kenkėjiškos programinės įrangos aspektas: Chrysalis ir priskyrimas

„BleepingComputer“ remiasi „Rapid7“ tyrimais, kuriuose susijusi kampanija priskiriama Kinijos APT grupei, žinomai kaip „Lotus Blossom“ (taip pat aprašytai su kitais slapyvardžiais), ir specialiai sukurtai „Rapid7“ galinių durų sistemai, pavadintai „Chrysalis“.

Tiksliniuose tiekimo grandinės incidentuose kenkėjiška programinė įranga dažnai būna pritaikyta pagal individualius poreikius. Todėl pagrindinė gynybos priemonė yra ne „aptikti būtent šią kenkėjišką programinę įrangą“, o „apsunkinti bet kokio neleistino turinio pateikimą per atnaujinimo programą“.

Ką organizacijos turėtų daryti kitaip

Jei tvarkote programinę įrangą įmonės aplinkoje, šis incidentas rodo keletą gynybinių trūkumų:

Venkite vartotojams skirtų automatinių atnaujinimųkritinėse sistemose, kai įmanoma.
Naudokite valdomą programinės įrangos platinimą(pasirašyti paketai vidinėse saugyklose, „Intune“ / SCCM ir kt.).
Prisegti ir patikrinti parašusdiegėjams ir atnaujinimams.
Stebėti „atnaujinimo kelius“kaip kritinė infrastruktūra: DNS, TLS tikrinimo politikos, tarpinio serverio elgsena ir galinių taškų vykdymo grandinės.

Jei esate individualus vartotojas, praktiniai veiksmai yra paprastesni:

Atnaujinkite į naujausią „Notepad++“ versiją iš oficialios svetainės
Įtarkite atnaujinimo raginimus, kurie neatrodo kaip įprastas diegimo programa
Paieškos rezultatuose venkite skelbimų „atsisiųsti dabar“, kurie imituoja oficialius puslapius

Esmė

Šešis mėnesius trukęs „Notepad++“ atnaujinimų užgrobimas nebuvo susijęs su viena klaida – tai buvo susiję su pasitikėjimo ribomis. Jei užpuolikas gali pakeisti manifestą arba parašo patikrinimai yra silpni, „atnaujinimai“ pagal paskirtį tampa nuotoliniu kodo vykdymu. Pataisymas – visapusiškas patvirtinimas, kurio negalima apeiti, net kai prieglobos paslaugų teikėjas tampa savininku.

Šaltiniai

Document Title
Notepad++ update hijack: what the six-month breach teaches about updater trust	„Notepad++“ atnaujinimo užgrobimas: ko šešių mėnesių pažeidimas moko apie atnaujinimų pasitikėjimą

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	„BleepingComputer“ praneša, kad 2025 m. buvo užgrobtas „Notepad++“ atnaujinimų srautas, selektyviai nukreipiant jį į kenkėjiškus serverius ir vėliau priskiriant tai su Kinijos valstybe susijusiam subjektui. Štai kas nepavyko, kas buvo ištaisyta ir kaip organizacijos gali apsunkinti programinės įrangos platinimą.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Peržiūrėti visus administratoriaus įrašus
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	„Microsoft“ teigia, kad „Windows“ naujinimo klaida gali neleisti išjungti – kas paveikta ir kaip ją išspręsti
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Arktis tampa vis garsesnė, o narvalai tylesni: kodėl svarbus povandeninis triukšmas
Page Content
Notepad++ update hijack: what the six-month breach teaches about updater trust	„Notepad++“ atnaujinimo užgrobimas: ko šešių mėnesių pažeidimas moko apie atnaujinimų pasitikėjimą
Nature
Climate
/
Technology
/ By
Admin
Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.	„Notepad++“ teigia, kad 2025 m. kelis mėnesius buvo užgrobtas jos atnaujinimų srautas, užpuolikai perėmė duomenis ir selektyviai nukreipė kai kuriuos vartotojus į kenkėjišką infrastruktūrą. „BleepingComputer“ praneša, kad įsilaužimas prasidėjo 2025 m. birželį ir baigėsi gruodžio 2 d., kai prieglobos paslaugų teikėjas aptiko pažeidimą ir nutraukė prieigą.
The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.	Šis incidentas yra naudingas priminimas, kad „atsisiuntimas per HTTPS“ nėra išsami saugumo istorija. Atnaujinimų sistemoms reikalingas stiprus, visapusiškas patikrinimas, nes infrastruktūra, kuria pasitikite, gali būti pažeista.
What the attackers exploited
BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.	„BleepingComputer“ aprašo senesnių „Notepad++“ versijų atnaujinimų tikrinimo valdiklių spragą, leidžiančią užpuolikams pateikti suklastotus atnaujinimų aprašus ir peradresuoti atsisiuntimus.
The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.	Pranešama, kad kampanija buvo siaura ir selektyvi, atitinkanti veikėjo, kuriam labiau rūpi prieiga prie konkrečių taikinių, o ne masinis platinimas, elgesį.
The timeline matters:
Initial compromise in June 2025	Pradinis kompromisas 2025 m. birželio mėn.
Temporary disruption in early September after kernel/firmware updates	Laikini sutrikimai rugsėjo pradžioje po branduolio / programinės įrangos atnaujinimų
Continued access via stolen internal credentials until December 2	Prieiga per pavogtus vidinius prisijungimo duomenis tęsiama iki gruodžio 2 d.
That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.	Tas žingsnis „įgaliojimai išliko po taisymo“ yra klasikinė incidento reagavimo klaida: serverio pataisymo nepakanka, jei užpuolikas jau turi raktus.
What Notepad++ changed after the incident	Ką „Notepad++“ pakeitė po incidento
BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.	„BleepingComputer“ praneša, kad „Notepad++“ perkėlė klientus pas naują prieglobos paslaugų teikėją, pakeitė prisijungimo duomenis ir patobulino patvirtinimą.
Starting with version 8.8.9, WinGUP:	Nuo 8.8.9 versijos, „WinGUP“:
Verifies installer certificates and signatures	Tikrina montuotojo sertifikatus ir parašus
Uses cryptographically signed update XML	Naudoja kriptografiškai pasirašytą atnaujinimo XML
The project also plans to enforce mandatory certificate signature verification in version 8.9.2.	Projekte taip pat planuojama 8.9.2 versijoje įdiegti privalomą sertifikatų parašų tikrinimą.
That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.	Toks progresavimas – pasirenkami patikrinimai → griežtesni patikrinimai → privalomi patikrinimai – yra būtent tai, kaip programinės įrangos platinimas turėtų laikui bėgant griežtėti.
The malware angle: Chrysalis and attribution	Kenkėjiškos programinės įrangos aspektas: Chrysalis ir priskyrimas
BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”	„BleepingComputer“ remiasi „Rapid7“ tyrimais, kuriuose susijusi kampanija priskiriama Kinijos APT grupei, žinomai kaip „Lotus Blossom“ (taip pat aprašytai su kitais slapyvardžiais), ir specialiai sukurtai „Rapid7“ galinių durų sistemai, pavadintai „Chrysalis“.
In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”	Tiksliniuose tiekimo grandinės incidentuose kenkėjiška programinė įranga dažnai būna pritaikyta pagal individualius poreikius. Todėl pagrindinė gynybos priemonė yra ne „aptikti būtent šią kenkėjišką programinę įrangą“, o „apsunkinti bet kokio neleistino turinio pateikimą per atnaujinimo programą“.
What organizations should do differently	Ką organizacijos turėtų daryti kitaip
If you manage software in an enterprise environment, this incident points to a few defensive defaults:	Jei tvarkote programinę įrangą įmonės aplinkoje, šis incidentas rodo keletą gynybinių trūkumų:
Avoid consumer auto-updaters	Venkite vartotojams skirtų automatinių atnaujinimų
on critical systems where possible.	kritinėse sistemose, kai įmanoma.
Use managed software distribution	Naudokite valdomą programinės įrangos platinimą
(signed packages in internal repos, Intune/SCCM, etc.).	(pasirašyti paketai vidinėse saugyklose, „Intune“ / SCCM ir kt.).
Pin and verify signatures	Prisegti ir patikrinti parašus
for installers and updates.
Monitor “update paths”	Stebėti „atnaujinimo kelius“
as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.	kaip kritinė infrastruktūra: DNS, TLS tikrinimo politikos, tarpinio serverio elgsena ir galinių taškų vykdymo grandinės.
If you’re an individual user, the practical steps are simpler:	Jei esate individualus vartotojas, praktiniai veiksmai yra paprastesni:
Update to a current Notepad++ version from the official site	Atnaujinkite į naujausią „Notepad++“ versiją iš oficialios svetainės
Be suspicious of update prompts that don’t look like the normal installer	Įtarkite atnaujinimo raginimus, kurie neatrodo kaip įprastas diegimo programa
Avoid “download now” ads in search results that mimic official pages	Paieškos rezultatuose venkite skelbimų „atsisiųsti dabar“, kurie imituoja oficialius puslapius
Bottom line
Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.	Šešis mėnesius trukęs „Notepad++“ atnaujinimų užgrobimas nebuvo susijęs su viena klaida – tai buvo susiję su pasitikėjimo ribomis. Jei užpuolikas gali pakeisti manifestą arba parašo patikrinimai yra silpni, „atnaujinimai“ pagal paskirtį tampa nuotoliniu kodo vykdymu. Pataisymas – visapusiškas patvirtinimas, kurio negalima apeiti, net kai prieglobos paslaugų teikėjas tampa savininku.
Sources
https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/	https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/	https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Peržiūrėti visus administratoriaus įrašus
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	„Microsoft“ teigia, kad „Windows“ naujinimo klaida gali neleisti išjungti – kas paveikta ir kaip ją išspręsti
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Arktis tampa vis garsesnė, o narvalai tylesni: kodėl svarbus povandeninis triukšmas
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	„BleepingComputer“ praneša, kad 2025 m. buvo užgrobtas „Notepad++“ atnaujinimų srautas, selektyviai nukreipiant jį į kenkėjiškus serverius ir vėliau priskiriant tai su Kinijos valstybe susijusiam subjektui. Štai kas nepavyko, kas buvo ištaisyta ir kaip organizacijos gali apsunkinti programinės įrangos platinimą.

Document Title

Notepad++ update hijack: what the six-month breach teaches about updater trust

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Page Content

Notepad++ update hijack: what the six-month breach teaches about updater trust

Nature

Climate

Technology

/ By

Admin

Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.

The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.

What the attackers exploited

BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.

The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.

The timeline matters:

Initial compromise in June 2025

Temporary disruption in early September after kernel/firmware updates

Continued access via stolen internal credentials until December 2

That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.

What Notepad++ changed after the incident

BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.

Starting with version 8.8.9, WinGUP:

Verifies installer certificates and signatures

Uses cryptographically signed update XML

The project also plans to enforce mandatory certificate signature verification in version 8.9.2.

That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.

The malware angle: Chrysalis and attribution

BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”

In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”

What organizations should do differently

If you manage software in an enterprise environment, this incident points to a few defensive defaults:

Avoid consumer auto-updaters

on critical systems where possible.

Use managed software distribution

(signed packages in internal repos, Intune/SCCM, etc.).

Pin and verify signatures

for installers and updates.

Monitor “update paths”

as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.

If you’re an individual user, the practical steps are simpler:

Update to a current Notepad++ version from the official site

Be suspicious of update prompts that don’t look like the normal installer

Avoid “download now” ads in search results that mimic official pages

Bottom line

Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.

Sources

https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Document Title
Page not found - Florin.blog	Puslapis nerastas - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Puslapis nerastas - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?	Panašu, kad nuoroda čia buvo klaidinga. Gal pabandykite paieškoti?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Kaip „Amazon“ partneriai, mes gauname pajamų iš kvalifikuotų pirkinių – jums tai nekainuos papildomai.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...