Notepad++ atjauninājumu nolaupīšana: ko sešu mēnešu pārkāpums māca par atjauninātāju uzticēšanos

Notepad++ apgalvo, ka 2025. gadā tā atjauninājumu datplūsma vairākus mēnešus tika nolaupīta, uzbrucējiem pārtverot un selektīvi novirzot dažus lietotājus uz ļaunprātīgu infrastruktūru. BleepingComputer ziņo, ka kompromitēšana sākās 2025. gada jūnijā un beidzās 2. decembrī pēc tam, kad mitināšanas pakalpojumu sniedzējs atklāja pārkāpumu un pārtrauca piekļuvi.

Šis incidents ir noderīgs atgādinājums, ka “lejupielāde, izmantojot HTTPS”, nav pilnīgs drošības stāsts. Atjaunināšanas sistēmām ir nepieciešama spēcīga, pilnīga verifikācija, jo infrastruktūra, kurai uzticaties, var tikt apdraudēta.

Ko uzbrucēji izmantoja

BleepingComputer apraksta atjauninājumu verifikācijas kontroles nepilnības vecākās Notepad++ versijās, kas ļauj uzbrucējiem piegādāt viltotus atjauninājumu manifestus un novirzīt lejupielādes.

Tiek ziņots, ka kampaņa bija šaura un selektīva, kas atbilst dalībnieka, kuram vairāk rūp piekļuve konkrētiem mērķiem, nevis masveida izplatīšana, rīcībai.

Laika grafiks ir svarīgs:

Sākotnējais kompromiss 2025. gada jūnijā
Pagaidu darbības traucējumi septembra sākumā pēc kodola/programmatūras atjauninājumiem
Piekļuves turpināšana, izmantojot nozagtus iekšējos piekļuves datus, līdz 2. decembrim

Šis solis “akreditācijas dati saglabājās pēc labošanas” ir klasiska incidenta reaģēšanas kļūme: servera ielāpa instalēšana nav pietiekama, ja uzbrucējam jau ir atslēgas.

Ko Notepad++ mainīja pēc incidenta

BleepingComputer ziņo, ka Notepad++ ir migrējis klientus uz jaunu mitināšanas pakalpojumu sniedzēju, mainījis akreditācijas datus un uzlabojis verifikāciju.

Sākot ar WinGUP versiju 8.8.9:

Pārbauda uzstādītāja sertifikātus un parakstus
Izmanto kriptogrāfiski parakstītu atjaunināšanas XML

Projekts plāno arī ieviest obligātu sertifikātu paraksta verifikāciju 8.9.2 versijā.

Šī progresija — neobligātas pārbaudes → stingrākas pārbaudes → obligātas pārbaudes — ir tieši tas, kā programmatūras izplatīšanai laika gaitā vajadzētu nostiprināties.

Ļaunprātīgas programmatūras aspekts: Chrysalis un attiecināšana

BleepingComputer atsaucas uz Rapid7 pētījumu, kurā saistīta kampaņa tiek piedēvēta ķīniešu APT grupai, kas pazīstama kā Lotus Blossom (arī aprakstīta ar citiem pseidonīmiem), un pielāgotai Rapid7 aizmugurējai durvīm ar nosaukumu “Chrysalis”.

Mērķtiecīgos piegādes ķēdes incidentos vērtuma apjoms bieži vien ir pielāgots. Tāpēc galvenā aizsardzība nav “precīzi noteikt šo ļaunprogrammatūru”, bet gan “apgrūtināt jebkādas neatļautas vērtuma apjoma piegādi, izmantojot atjauninātāju”.

Kas organizācijām būtu jādara citādi

Ja pārvaldāt programmatūru uzņēmuma vidē, šis incidents norāda uz dažiem aizsardzības trūkumiem:

Izvairieties no patērētāju automātiskajiem atjauninājumiemkritiskās sistēmās, ja iespējams.
Izmantojiet pārvaldītu programmatūras izplatīšanu(parakstītas pakotnes iekšējos repozitorijos, Intune/SCCM utt.).
Piespraust un pārbaudīt parakstusinstalētājiem un atjauninājumiem.
Uzraudzīt “atjaunināšanas ceļus”kā kritiskā infrastruktūra: DNS, TLS pārbaudes politikas, starpniekservera darbība un galapunktu izpildes ķēdes.

Ja esat individuāls lietotājs, praktiskie soļi ir vienkāršāki:

Atjauniniet uz pašreizējo Notepad++ versiju no oficiālās vietnes
Esiet aizdomīgi pret atjaunināšanas uzvednēm, kas neizskatās pēc parastā instalētāja.
Meklēšanas rezultātos izvairieties no reklāmām “lejupielādēt tūlīt”, kas atdarina oficiālās lapas

Apakšējā līnija

Notepad++ sešus mēnešus ilgā atjauninājumu pārtveršana nebija saistīta ar vienu kļūdu — tā bija saistīta ar uzticamības robežām. Ja uzbrucējs var mainīt manifestu vai paraksta pārbaudes ir vājas, “atjauninājumi” pēc būtības kļūst par attālinātu koda izpildi. Risinājums ir pilna cikla verifikācija, ko nevar apiet pat tad, ja mitināšanas pakalpojumu sniedzējs kļūst par tā īpašnieku.

Avoti

Document Title
Notepad++ update hijack: what the six-month breach teaches about updater trust	Notepad++ atjauninājumu nolaupīšana: ko sešu mēnešu pārkāpums māca par atjauninātāju uzticēšanos

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputer ziņo, ka Notepad++ atjauninājumu datplūsma tika nolaupīta 2025. gadā, veicot selektīvas novirzīšanas uz ļaunprātīgiem serveriem un vēlāk attiecinot to uz ar Ķīnas valsti saistītu dalībnieku. Lūk, kas neizdevās, kas tika labots un kā organizācijas var nostiprināt programmatūras izplatīšanu.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Skatīt visus administratora ierakstus
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	Microsoft apgalvo, ka Windows atjaunināšanas kļūda var novērst izslēgšanu — kas ir ietekmēts un kāds ir risinājums
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Arktika kļūst skaļāka, un narvaļi kļūst klusāki: kāpēc zemūdens troksnis ir svarīgs
Page Content
Notepad++ update hijack: what the six-month breach teaches about updater trust	Notepad++ atjauninājumu nolaupīšana: ko sešu mēnešu pārkāpums māca par atjauninātāju uzticēšanos
Nature
Climate
/
Technology
/ By
Admin
Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.	Notepad++ apgalvo, ka 2025. gadā tā atjauninājumu datplūsma vairākus mēnešus tika nolaupīta, uzbrucējiem pārtverot un selektīvi novirzot dažus lietotājus uz ļaunprātīgu infrastruktūru. BleepingComputer ziņo, ka kompromitēšana sākās 2025. gada jūnijā un beidzās 2. decembrī pēc tam, kad mitināšanas pakalpojumu sniedzējs atklāja pārkāpumu un pārtrauca piekļuvi.
The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.	Šis incidents ir noderīgs atgādinājums, ka “lejupielāde, izmantojot HTTPS”, nav pilnīgs drošības stāsts. Atjaunināšanas sistēmām ir nepieciešama spēcīga, pilnīga verifikācija, jo infrastruktūra, kurai uzticaties, var tikt apdraudēta.
What the attackers exploited
BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.	BleepingComputer apraksta atjauninājumu verifikācijas kontroles nepilnības vecākās Notepad++ versijās, kas ļauj uzbrucējiem piegādāt viltotus atjauninājumu manifestus un novirzīt lejupielādes.
The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.	Tiek ziņots, ka kampaņa bija šaura un selektīva, kas atbilst dalībnieka, kuram vairāk rūp piekļuve konkrētiem mērķiem, nevis masveida izplatīšana, rīcībai.
The timeline matters:
Initial compromise in June 2025	Sākotnējais kompromiss 2025. gada jūnijā
Temporary disruption in early September after kernel/firmware updates	Pagaidu darbības traucējumi septembra sākumā pēc kodola/programmatūras atjauninājumiem
Continued access via stolen internal credentials until December 2	Piekļuves turpināšana, izmantojot nozagtus iekšējos piekļuves datus, līdz 2. decembrim
That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.	Šis solis “akreditācijas dati saglabājās pēc labošanas” ir klasiska incidenta reaģēšanas kļūme: servera ielāpa instalēšana nav pietiekama, ja uzbrucējam jau ir atslēgas.
What Notepad++ changed after the incident	Ko Notepad++ mainīja pēc incidenta
BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.	BleepingComputer ziņo, ka Notepad++ ir migrējis klientus uz jaunu mitināšanas pakalpojumu sniedzēju, mainījis akreditācijas datus un uzlabojis verifikāciju.
Starting with version 8.8.9, WinGUP:	Sākot ar WinGUP versiju 8.8.9:
Verifies installer certificates and signatures	Pārbauda uzstādītāja sertifikātus un parakstus
Uses cryptographically signed update XML	Izmanto kriptogrāfiski parakstītu atjaunināšanas XML
The project also plans to enforce mandatory certificate signature verification in version 8.9.2.	Projekts plāno arī ieviest obligātu sertifikātu paraksta verifikāciju 8.9.2 versijā.
That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.	Šī progresija — neobligātas pārbaudes → stingrākas pārbaudes → obligātas pārbaudes — ir tieši tas, kā programmatūras izplatīšanai laika gaitā vajadzētu nostiprināties.
The malware angle: Chrysalis and attribution	Ļaunprātīgas programmatūras aspekts: Chrysalis un attiecināšana
BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”	BleepingComputer atsaucas uz Rapid7 pētījumu, kurā saistīta kampaņa tiek piedēvēta ķīniešu APT grupai, kas pazīstama kā Lotus Blossom (arī aprakstīta ar citiem pseidonīmiem), un pielāgotai Rapid7 aizmugurējai durvīm ar nosaukumu “Chrysalis”.
In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”	Mērķtiecīgos piegādes ķēdes incidentos vērtuma apjoms bieži vien ir pielāgots. Tāpēc galvenā aizsardzība nav “precīzi noteikt šo ļaunprogrammatūru”, bet gan “apgrūtināt jebkādas neatļautas vērtuma apjoma piegādi, izmantojot atjauninātāju”.
What organizations should do differently	Kas organizācijām būtu jādara citādi
If you manage software in an enterprise environment, this incident points to a few defensive defaults:	Ja pārvaldāt programmatūru uzņēmuma vidē, šis incidents norāda uz dažiem aizsardzības trūkumiem:
Avoid consumer auto-updaters	Izvairieties no patērētāju automātiskajiem atjauninājumiem
on critical systems where possible.	kritiskās sistēmās, ja iespējams.
Use managed software distribution	Izmantojiet pārvaldītu programmatūras izplatīšanu
(signed packages in internal repos, Intune/SCCM, etc.).	(parakstītas pakotnes iekšējos repozitorijos, Intune/SCCM utt.).
Pin and verify signatures	Piespraust un pārbaudīt parakstus
for installers and updates.	instalētājiem un atjauninājumiem.
Monitor “update paths”	Uzraudzīt “atjaunināšanas ceļus”
as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.	kā kritiskā infrastruktūra: DNS, TLS pārbaudes politikas, starpniekservera darbība un galapunktu izpildes ķēdes.
If you’re an individual user, the practical steps are simpler:	Ja esat individuāls lietotājs, praktiskie soļi ir vienkāršāki:
Update to a current Notepad++ version from the official site	Atjauniniet uz pašreizējo Notepad++ versiju no oficiālās vietnes
Be suspicious of update prompts that don’t look like the normal installer	Esiet aizdomīgi pret atjaunināšanas uzvednēm, kas neizskatās pēc parastā instalētāja.
Avoid “download now” ads in search results that mimic official pages	Meklēšanas rezultātos izvairieties no reklāmām “lejupielādēt tūlīt”, kas atdarina oficiālās lapas
Bottom line
Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.	Notepad++ sešus mēnešus ilgā atjauninājumu pārtveršana nebija saistīta ar vienu kļūdu — tā bija saistīta ar uzticamības robežām. Ja uzbrucējs var mainīt manifestu vai paraksta pārbaudes ir vājas, “atjauninājumi” pēc būtības kļūst par attālinātu koda izpildi. Risinājums ir pilna cikla verifikācija, ko nevar apiet pat tad, ja mitināšanas pakalpojumu sniedzējs kļūst par tā īpašnieku.
Sources
https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/	https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/	https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Skatīt visus administratora ierakstus
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	Microsoft apgalvo, ka Windows atjaunināšanas kļūda var novērst izslēgšanu — kas ir ietekmēts un kāds ir risinājums
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Arktika kļūst skaļāka, un narvaļi kļūst klusāki: kāpēc zemūdens troksnis ir svarīgs
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputer ziņo, ka Notepad++ atjauninājumu datplūsma tika nolaupīta 2025. gadā, veicot selektīvas novirzīšanas uz ļaunprātīgiem serveriem un vēlāk attiecinot to uz ar Ķīnas valsti saistītu dalībnieku. Lūk, kas neizdevās, kas tika labots un kā organizācijas var nostiprināt programmatūras izplatīšanu.

Document Title

Notepad++ update hijack: what the six-month breach teaches about updater trust

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Page Content

Notepad++ update hijack: what the six-month breach teaches about updater trust

Nature

Climate

Technology

/ By

Admin

Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.

The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.

What the attackers exploited

BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.

The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.

The timeline matters:

Initial compromise in June 2025

Temporary disruption in early September after kernel/firmware updates

Continued access via stolen internal credentials until December 2

That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.

What Notepad++ changed after the incident

BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.

Starting with version 8.8.9, WinGUP:

Verifies installer certificates and signatures

Uses cryptographically signed update XML

The project also plans to enforce mandatory certificate signature verification in version 8.9.2.

That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.

The malware angle: Chrysalis and attribution

BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”

In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”

What organizations should do differently

If you manage software in an enterprise environment, this incident points to a few defensive defaults:

Avoid consumer auto-updaters

on critical systems where possible.

Use managed software distribution

(signed packages in internal repos, Intune/SCCM, etc.).

Pin and verify signatures

for installers and updates.

Monitor “update paths”

as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.

If you’re an individual user, the practical steps are simpler:

Update to a current Notepad++ version from the official site

Be suspicious of update prompts that don’t look like the normal installer

Avoid “download now” ads in search results that mimic official pages

Bottom line

Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.

Sources

https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Document Title
Page not found - Florin.blog	Lapa nav atrasta — Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Lapa nav atrasta — Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.	Šķiet, ka šī lapa neeksistē.
It looks like the link pointing here was faulty. Maybe try searching?	Izskatās, ka saite, kas norāda uz šejieni, bija kļūdaina. Varbūt pamēģiniet meklēt?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Kā Amazon partneris mēs saņemam komisijas maksu no kvalificētiem pirkumiem — bez papildu izmaksām jums.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...