„Notepad++“ atnaujinimo kompromisas: kas nutiko ir ką turėtų daryti vartotojai

„Notepad++“ – plačiai naudojama „Windows“ teksto rengyklė – perspėjo, kad jos atnaujinimų infrastruktūra buvo pažeista mėnesius, todėl užpuolikai galėjo selektyviai nukreipti kai kuriuos vartotojus į kenkėjiškus atnaujinimus. „Ars Technica“ praneša, kad pažeidimas prasidėjo 2025 m. birželį ir kad kontrolė buvo visiškai atkurta tik gruodžio mėn.

Tai klasikinis tiekimo grandinės modelis: užuot tiesiogiai išnaudoję kiekvieną auką, užpuolikai taikosi į atnaujinimo kelią, todėl pati programinė įranga tampa pristatymo priemone.

Kaip atrodė ataka

„Ars“ teigimu, užpuolikai įgijo „infrastruktūros lygio“ kontrolę, kuri leido jiems perimti ir nukreipti atnaujinimų srautą, skirtą „Notepad++“ domenui. Užuot nukentėjęs kiekvienas vartotojas, nukreipimas buvo selektyvus – nukreiptas į dominančius taikinius.

Toks selektyvumas yra svarbi užuomina. Tai rodo, kad užpuolikai arba turėjo konkrečią auką, arba bandė išvengti aptikimo, mažindami užkrėtimo apimtį.

Kodėl atnaujinimo programos yra toks vertingas taikinys

Automatinio atnaujinimo mechanizmai sukurti trims pavojingiems dalykams atlikti:

Atsisiųsti kodą iš interneto
Įrašykite jį į diską
Vykdykite tai

Būtent to ir nori kenkėjiška programa. Vienintelis dalykas tarp „atnaujinimo“ ir „užkrėtimo“ yra patvirtinimas.

Jei atnaujinimo programa:

Nenaudoja stipraus TLS nuosekliai
Netinkamai tikrina parašus
Pasitiki klastojamu manifesto failu

...tada srauto perėmimas arba nukreipimas gali pakakti naudingosios apkrovos pasikeitimui.

„Notepad++“ atnaujinimo ypatybės (ir silpnosios vietos)

„Ars“ aprašo specialiai sukurtą atnaujinimo programą (GUP / WinGUP), kuri:

Praneša savo versiją į Notepad++ URL
Nuskaito atnaujinimo instrukcijas iš XML failo
Atsisiunčia diegimo programą į laikiną katalogą ir ją paleidžia

Daugelio sistemų silpnoji vieta yra „manifesto“ etapas. Jei manifestą galima pakeisti arba modifikuoti, atnaujinimo programa gali būti nukreipta į bet kurią atsisiuntimo vietą.

Kokias versijas turėtų naudoti vartotojai

„Ars“ ataskaitoje pažymima, kad kūrėjai paragino vartotojus įsitikinti, jog jie naudoja 8.9.1 ar naujesnę versiją.

Kaip taisyklė tokiais atvejais:

Pageidautina rankinis diegimas iš oficialios svetainės
Venkite trečiųjų šalių „atsisiuntimo veidrodžių“ ir reklaminių paieškos rezultatų
Netikėtai laiku pateiktus atnaujinimo raginimus traktuokite kaip įtartinus

Kaip įvertinti savo poveikį

Tikslinės kampanijos atveju gali nebūti tobulų kompromiso rodiklių, tačiau galite sumažinti netikrumą:

Patvirtinkite įdiegtą versijąir palyginkite jį su dabartiniais leidimais.
Patikrinkite montuotojo parašąskirta jūsų turimiems „Notepad++“ dvejetainiams failams.
Peržiūrėti sistemos žurnalusneįprastų procesų paleidimui atnaujinimo metu (nepažįstami diegimo programos procesai, tinklo iškvietimai į neįprastus domenus).
Nuskaityti naudojant EDR/AVkuris gali aptikti žinomas užkulisius, apie kuriuos praneša incidentų vykdytojai.

Organizacijoms taip pat pagrįsta:

Apriboti atnaujinimo komponentų prieigą prie interneto
Naudokite kontroliuojamą programinės įrangos diegimą (MSI paketus, vidines saugyklas)

Ką tai sako apie atvirojo kodo priklausomybes

„Notepad++“ yra nemokama, plačiai naudojama ir dažnai, palyginti su jos svarba, nepakankamai finansuojama. Šis neatitikimas pasireiškia trapia infrastruktūra ir pritaikytomis atnaujinimo sistemomis, kurios nebuvo sukurtos nacionalinio lygio grėsmių modeliams.

Platesnė pamoka nėra „nenaudokite atvirojo kodo“. Ji ta, kad plačiai priklausomiems atvirojo kodo projektams reikia:

Šiuolaikinės atnaujinimo sistemos
Saugumo apžvalgos
Infrastruktūros ir incidentų reagavimo finansavimas

Esmė

Jei naudojate „Notepad++“, tarkime, kad atnaujinimų kanalas buvo potenciali atakų platforma 2025 m. Gaukite naujausią versiją, pirmenybę teikite oficialiam / rankiniam diegimui ir atnaujinimų vientisumą (parašus ir manifestus) laikykite tikra saugumo riba.

Šaltiniai

Document Title
Notepad++ updater compromise: what happened and what users should do	„Notepad++“ atnaujinimo kompromisas: kas nutiko ir ką turėtų daryti vartotojai

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	„Ars“ praneša, kad „Notepad++“ atnaujinimų infrastruktūra buvo pažeidžiama kelis mėnesius, selektyviai nukreipdama kai kuriuos vartotojus į kenkėjiškus atnaujinimus. Štai kaip veikia atnaujinimų užgrobimai, kodėl parašai yra svarbūs ir kokie yra praktiniai žingsniai, kaip patikrinti riziką.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Peržiūrėti visus administratoriaus įrašus
Courts let US offshore wind construction resume: what the injunctions signal	Teismai leido atnaujinti JAV jūrinių vėjo jėgainių statybą: ką signalizuoja draudimai
Hair samples over a century show how regulations cut lead exposure	Plaukų mėginiai per šimtmetį rodo, kaip reglamentai sumažina švino poveikį
Page Content
Notepad++ updater compromise: what happened and what users should do	„Notepad++“ atnaujinimo kompromisas: kas nutiko ir ką turėtų daryti vartotojai
Nature
Climate
/
Technology
/ By
Admin
Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.	„Notepad++“ – plačiai naudojama „Windows“ teksto rengyklė – perspėjo, kad jos atnaujinimų infrastruktūra buvo pažeista mėnesius, todėl užpuolikai galėjo selektyviai nukreipti kai kuriuos vartotojus į kenkėjiškus atnaujinimus. „Ars Technica“ praneša, kad pažeidimas prasidėjo 2025 m. birželį ir kad kontrolė buvo visiškai atkurta tik gruodžio mėn.
This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.	Tai klasikinis tiekimo grandinės modelis: užuot tiesiogiai išnaudoję kiekvieną auką, užpuolikai taikosi į atnaujinimo kelią, todėl pati programinė įranga tampa pristatymo priemone.
What the attack looked like
According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.	„Ars“ teigimu, užpuolikai įgijo „infrastruktūros lygio“ kontrolę, kuri leido jiems perimti ir nukreipti atnaujinimų srautą, skirtą „Notepad++“ domenui. Užuot nukentėjęs kiekvienas vartotojas, nukreipimas buvo selektyvus – nukreiptas į dominančius taikinius.
That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.	Toks selektyvumas yra svarbi užuomina. Tai rodo, kad užpuolikai arba turėjo konkrečią auką, arba bandė išvengti aptikimo, mažindami užkrėtimo apimtį.
Why updaters are such a high-value target	Kodėl atnaujinimo programos yra toks vertingas taikinys
Auto-update mechanisms are designed to do three dangerous things:	Automatinio atnaujinimo mechanizmai sukurti trims pavojingiems dalykams atlikti:
Fetch code from the internet	Atsisiųsti kodą iš interneto
Write it to disk
Execute it
That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.	Būtent to ir nori kenkėjiška programa. Vienintelis dalykas tarp „atnaujinimo“ ir „užkrėtimo“ yra patvirtinimas.
If an updater:
Doesn’t use strong TLS consistently	Nenaudoja stipraus TLS nuosekliai
Doesn’t verify signatures correctly
Trusts a tamperable manifest file	Pasitiki klastojamu manifesto failu
…then intercepting or redirecting traffic can be enough to swap the payload.	...tada srauto perėmimas arba nukreipimas gali pakakti naudingosios apkrovos pasikeitimui.
The Notepad++ updater specifics (and the weak points)	„Notepad++“ atnaujinimo ypatybės (ir silpnosios vietos)
Ars describes a bespoke updater (GUP / WinGUP) that:	„Ars“ aprašo specialiai sukurtą atnaujinimo programą (GUP / WinGUP), kuri:
Reports its version to a Notepad++ URL	Praneša savo versiją į Notepad++ URL
Retrieves update instructions from an XML file	Nuskaito atnaujinimo instrukcijas iš XML failo
Downloads an installer to a temp directory and runs it	Atsisiunčia diegimo programą į laikiną katalogą ir ją paleidžia
The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.	Daugelio sistemų silpnoji vieta yra „manifesto“ etapas. Jei manifestą galima pakeisti arba modifikuoti, atnaujinimo programa gali būti nukreipta į bet kurią atsisiuntimo vietą.
What versions users should be on	Kokias versijas turėtų naudoti vartotojai
The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.	„Ars“ ataskaitoje pažymima, kad kūrėjai paragino vartotojus įsitikinti, jog jie naudoja 8.9.1 ar naujesnę versiją.
As a rule of thumb in incidents like this:	Kaip taisyklė tokiais atvejais:
Prefer manual installation from the official site	Pageidautina rankinis diegimas iš oficialios svetainės
Avoid third-party “download mirrors” and ad-filled search results	Venkite trečiųjų šalių „atsisiuntimo veidrodžių“ ir reklaminių paieškos rezultatų
Treat unexpectedly timed update prompts as suspicious	Netikėtai laiku pateiktus atnaujinimo raginimus traktuokite kaip įtartinus
How to assess your exposure
There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:	Tikslinės kampanijos atveju gali nebūti tobulų kompromiso rodiklių, tačiau galite sumažinti netikrumą:
Confirm your installed version	Patvirtinkite įdiegtą versiją
and compare it to current releases.	ir palyginkite jį su dabartiniais leidimais.
Verify the installer signature	Patikrinkite montuotojo parašą
for the Notepad++ binaries you have.	skirta jūsų turimiems „Notepad++“ dvejetainiams failams.
Review system logs	Peržiūrėti sistemos žurnalus
for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).	neįprastų procesų paleidimui atnaujinimo metu (nepažįstami diegimo programos procesai, tinklo iškvietimai į neįprastus domenus).
Scan with EDR/AV
that can detect known backdoors reported by incident responders.	kuris gali aptikti žinomas užkulisius, apie kuriuos praneša incidentų vykdytojai.
For organizations, it’s also reasonable to:	Organizacijoms taip pat pagrįsta:
Restrict updater components from reaching the internet	Apriboti atnaujinimo komponentų prieigą prie interneto
Use controlled software deployment (MSI packaging, internal repositories)	Naudokite kontroliuojamą programinės įrangos diegimą (MSI paketus, vidines saugyklas)
What this says about open-source dependencies	Ką tai sako apie atvirojo kodo priklausomybes
Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.	„Notepad++“ yra nemokama, plačiai naudojama ir dažnai, palyginti su jos svarba, nepakankamai finansuojama. Šis neatitikimas pasireiškia trapia infrastruktūra ir pritaikytomis atnaujinimo sistemomis, kurios nebuvo sukurtos nacionalinio lygio grėsmių modeliams.
The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:	Platesnė pamoka nėra „nenaudokite atvirojo kodo“. Ji ta, kad plačiai priklausomiems atvirojo kodo projektams reikia:
Modern update frameworks	Šiuolaikinės atnaujinimo sistemos
Security reviews
Funding for infrastructure and incident response	Infrastruktūros ir incidentų reagavimo finansavimas
Bottom line
If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.	Jei naudojate „Notepad++“, tarkime, kad atnaujinimų kanalas buvo potenciali atakų platforma 2025 m. Gaukite naujausią versiją, pirmenybę teikite oficialiam / rankiniam diegimui ir atnaujinimų vientisumą (parašus ir manifestus) laikykite tikra saugumo riba.
Sources
https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/	https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Peržiūrėti visus administratoriaus įrašus
Courts let US offshore wind construction resume: what the injunctions signal	Teismai leido atnaujinti JAV jūrinių vėjo jėgainių statybą: ką signalizuoja draudimai
Hair samples over a century show how regulations cut lead exposure	Plaukų mėginiai per šimtmetį rodo, kaip reglamentai sumažina švino poveikį
Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	„Ars“ praneša, kad „Notepad++“ atnaujinimų infrastruktūra buvo pažeidžiama kelis mėnesius, selektyviai nukreipdama kai kuriuos vartotojus į kenkėjiškus atnaujinimus. Štai kaip veikia atnaujinimų užgrobimai, kodėl parašai yra svarbūs ir kokie yra praktiniai žingsniai, kaip patikrinti riziką.

Document Title

Notepad++ updater compromise: what happened and what users should do

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Page Content

Notepad++ updater compromise: what happened and what users should do

Nature

Climate

Technology

/ By

Admin

Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.

This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.

What the attack looked like

According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.

That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.

Why updaters are such a high-value target

Auto-update mechanisms are designed to do three dangerous things:

Fetch code from the internet

Write it to disk

Execute it

That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.

If an updater:

Doesn’t use strong TLS consistently

Doesn’t verify signatures correctly

Trusts a tamperable manifest file

…then intercepting or redirecting traffic can be enough to swap the payload.

The Notepad++ updater specifics (and the weak points)

Ars describes a bespoke updater (GUP / WinGUP) that:

Reports its version to a Notepad++ URL

Retrieves update instructions from an XML file

Downloads an installer to a temp directory and runs it

The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.

What versions users should be on

The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.

As a rule of thumb in incidents like this:

Prefer manual installation from the official site

Avoid third-party “download mirrors” and ad-filled search results

Treat unexpectedly timed update prompts as suspicious

How to assess your exposure

There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:

Confirm your installed version

and compare it to current releases.

Verify the installer signature

for the Notepad++ binaries you have.

Review system logs

for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).

Scan with EDR/AV

that can detect known backdoors reported by incident responders.

For organizations, it’s also reasonable to:

Restrict updater components from reaching the internet

Use controlled software deployment (MSI packaging, internal repositories)

What this says about open-source dependencies

Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.

The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:

Modern update frameworks

Security reviews

Funding for infrastructure and incident response

Bottom line

If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.

Sources

https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Document Title
Page not found - Florin.blog	Puslapis nerastas - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Puslapis nerastas - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?	Panašu, kad nuoroda čia buvo klaidinga. Gal pabandykite paieškoti?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Kaip „Amazon“ partneriai, mes gauname pajamų iš kvalifikuotų pirkinių – jums tai nekainuos papildomai.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...