Naruszenie aktualizacji Notepad++: co się stało i co powinni zrobić użytkownicy

Notepad++ – powszechnie używany edytor tekstu w systemie Windows – ostrzegał, że jego infrastruktura aktualizacji była zagrożona przez miesiące, co umożliwiało atakującym selektywne przekierowywanie niektórych użytkowników do złośliwych aktualizacji. Ars Technica informuje, że atak rozpoczął się w czerwcu 2025 roku, a pełną kontrolę przywrócono dopiero w grudniu.

To klasyczny schemat łańcucha dostaw: zamiast atakować każdą ofiarę bezpośrednio, atakujący biorą na cel ścieżkę aktualizacji, tak aby samo oprogramowanie stało się środkiem dostaw.

Jak wyglądał atak

Według Ars, atakujący uzyskali kontrolę „na poziomie infrastruktury”, która pozwoliła im przechwytywać i przekierowywać ruch aktualizacji przeznaczony dla domeny Notepad++. Zamiast atakować każdego użytkownika, przekierowanie było selektywne – ukierunkowane na interesujące cele.

Ta selektywność to ważna wskazówka. Sugeruje ona, że atakujący albo mieli konkretny zestaw ofiar, albo próbowali uniknąć wykrycia, utrzymując niską liczbę infekcji.

Dlaczego aktualizatory są tak cennym celem

Mechanizmy automatycznej aktualizacji mają na celu wykonywanie trzech niebezpiecznych czynności:

Pobierz kod z internetu
Zapisz to na dysku
Wykonaj to

Właśnie tego chce złośliwe oprogramowanie. Jedyne, co stoi między „aktualizacją” a „infekcją”, to weryfikacja.

Jeśli aktualizator:

Nie używa konsekwentnie silnego protokołu TLS
Nieprawidłowo weryfikuje podpisy
Ufa plikowi manifestu, który można sfałszować

…wtedy przechwycenie lub przekierowanie ruchu może wystarczyć do zamiany ładunku.

Szczegóły aktualizacji Notepad++ (i jej słabe punkty)

Ars opisuje niestandardowy aktualizator (GUP/WinGUP), który:

Zgłasza swoją wersję do adresu URL Notepad++
Pobiera instrukcje aktualizacji z pliku XML
Pobiera instalator do katalogu tymczasowego i uruchamia go

Słabym punktem wielu systemów jest etap „manifestu”. Jeśli manifest można zastąpić lub zmodyfikować, aktualizator można skierować do dowolnej lokalizacji pobierania.

Jakie wersje powinni mieć użytkownicy

W raporcie Ars zaznaczono, że twórcy oprogramowania apelują do użytkowników o upewnienie się, że korzystają z wersji 8.9.1 lub nowszej.

Jako regułę w tego typu incydentach należy przyjąć:

Wolisz instalację ręczną z oficjalnej strony
Unikaj zewnętrznych „lustrzanych witryn pobierania” i wyników wyszukiwania wypełnionych reklamami
Nieoczekiwanie pojawiające się monity o aktualizację należy traktować jako podejrzane

Jak ocenić swoje narażenie

W przypadku kampanii ukierunkowanej nie zawsze istnieją idealne wskaźniki zagrożenia, ale można zmniejszyć niepewność:

Potwierdź zainstalowaną wersjęi porównaj z obecnymi wydaniami.
Zweryfikuj podpis instalatoradla plików binarnych Notepad++, które posiadasz.
Przejrzyj dzienniki systemowew przypadku nietypowych uruchomień procesów w czasie aktualizacji (procesy instalatora, których nie rozpoznajesz, wywołania sieciowe do nietypowych domen).
Skanuj za pomocą EDR/AVktóre potrafią wykrywać znane tylne furtki zgłaszane przez osoby reagujące na incydenty.

Dla organizacji rozsądne jest również:

Ogranicz dostęp komponentów aktualizatora do Internetu
Stosuj kontrolowane wdrażanie oprogramowania (pakiety MSI, wewnętrzne repozytoria)

Co to mówi o zależnościach open source

Notepad++ jest darmowy, intensywnie wykorzystywany i często niedofinansowany w stosunku do swojego znaczenia. Ta rozbieżność objawia się kruchą infrastrukturą i niestandardowymi systemami aktualizacji, które nie zostały zaprojektowane z myślą o modelach zagrożeń na poziomie państwowym.

Szersza lekcja nie brzmi: „nie korzystaj z oprogramowania open source”. Chodzi o to, że powszechnie używane projekty open source wymagają:

Nowoczesne struktury aktualizacji
Przeglądy bezpieczeństwa
Finansowanie infrastruktury i reagowania na incydenty

Podsumowanie

Jeśli używasz programu Notepad++, załóż, że kanał aktualizacji stanowił potencjalną powierzchnię ataku w 2025 r. Zainstaluj najnowszą wersję, preferuj instalacje oficjalne/ręczne i traktuj integralność aktualizatora (sygnatury i manifesty) jako rzeczywistą granicę bezpieczeństwa.

Źródła

Document Title
Notepad++ updater compromise: what happened and what users should do	Naruszenie aktualizacji Notepad++: co się stało i co powinni zrobić użytkownicy

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Ars informuje, że infrastruktura aktualizacji Notepad++ była przez miesiące naruszona, co selektywnie przekierowywało niektórych użytkowników do złośliwych aktualizacji. Oto, jak działają przechwyty aktualizacji, dlaczego sygnatury są ważne i jak sprawdzić ryzyko.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Zobacz wszystkie posty administratora
Courts let US offshore wind construction resume: what the injunctions signal	Sądy zezwalają na wznowienie budowy morskich elektrowni wiatrowych w USA: co oznaczają nakazy sądowe
Hair samples over a century show how regulations cut lead exposure	Próbki włosów zbierane przez ponad sto lat pokazują, jak przepisy ograniczają narażenie na ołów
Page Content
Notepad++ updater compromise: what happened and what users should do	Naruszenie aktualizacji Notepad++: co się stało i co powinni zrobić użytkownicy
Nature
Climate
/
Technology
/ By
Admin
Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.	Notepad++ – powszechnie używany edytor tekstu w systemie Windows – ostrzegał, że jego infrastruktura aktualizacji była zagrożona przez miesiące, co umożliwiało atakującym selektywne przekierowywanie niektórych użytkowników do złośliwych aktualizacji. Ars Technica informuje, że atak rozpoczął się w czerwcu 2025 roku, a pełną kontrolę przywrócono dopiero w grudniu.
This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.	To klasyczny schemat łańcucha dostaw: zamiast atakować każdą ofiarę bezpośrednio, atakujący biorą na cel ścieżkę aktualizacji, tak aby samo oprogramowanie stało się środkiem dostaw.
What the attack looked like
According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.	Według Ars, atakujący uzyskali kontrolę „na poziomie infrastruktury”, która pozwoliła im przechwytywać i przekierowywać ruch aktualizacji przeznaczony dla domeny Notepad++. Zamiast atakować każdego użytkownika, przekierowanie było selektywne – ukierunkowane na interesujące cele.
That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.	Ta selektywność to ważna wskazówka. Sugeruje ona, że atakujący albo mieli konkretny zestaw ofiar, albo próbowali uniknąć wykrycia, utrzymując niską liczbę infekcji.
Why updaters are such a high-value target	Dlaczego aktualizatory są tak cennym celem
Auto-update mechanisms are designed to do three dangerous things:	Mechanizmy automatycznej aktualizacji mają na celu wykonywanie trzech niebezpiecznych czynności:
Fetch code from the internet
Write it to disk
Execute it
That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.	Właśnie tego chce złośliwe oprogramowanie. Jedyne, co stoi między „aktualizacją” a „infekcją”, to weryfikacja.
If an updater:
Doesn’t use strong TLS consistently	Nie używa konsekwentnie silnego protokołu TLS
Doesn’t verify signatures correctly	Nieprawidłowo weryfikuje podpisy
Trusts a tamperable manifest file	Ufa plikowi manifestu, który można sfałszować
…then intercepting or redirecting traffic can be enough to swap the payload.	…wtedy przechwycenie lub przekierowanie ruchu może wystarczyć do zamiany ładunku.
The Notepad++ updater specifics (and the weak points)	Szczegóły aktualizacji Notepad++ (i jej słabe punkty)
Ars describes a bespoke updater (GUP / WinGUP) that:	Ars opisuje niestandardowy aktualizator (GUP/WinGUP), który:
Reports its version to a Notepad++ URL	Zgłasza swoją wersję do adresu URL Notepad++
Retrieves update instructions from an XML file	Pobiera instrukcje aktualizacji z pliku XML
Downloads an installer to a temp directory and runs it	Pobiera instalator do katalogu tymczasowego i uruchamia go
The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.	Słabym punktem wielu systemów jest etap „manifestu”. Jeśli manifest można zastąpić lub zmodyfikować, aktualizator można skierować do dowolnej lokalizacji pobierania.
What versions users should be on	Jakie wersje powinni mieć użytkownicy
The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.	W raporcie Ars zaznaczono, że twórcy oprogramowania apelują do użytkowników o upewnienie się, że korzystają z wersji 8.9.1 lub nowszej.
As a rule of thumb in incidents like this:	Jako regułę w tego typu incydentach należy przyjąć:
Prefer manual installation from the official site	Wolisz instalację ręczną z oficjalnej strony
Avoid third-party “download mirrors” and ad-filled search results	Unikaj zewnętrznych „lustrzanych witryn pobierania” i wyników wyszukiwania wypełnionych reklamami
Treat unexpectedly timed update prompts as suspicious	Nieoczekiwanie pojawiające się monity o aktualizację należy traktować jako podejrzane
How to assess your exposure
There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:	W przypadku kampanii ukierunkowanej nie zawsze istnieją idealne wskaźniki zagrożenia, ale można zmniejszyć niepewność:
Confirm your installed version	Potwierdź zainstalowaną wersję
and compare it to current releases.	i porównaj z obecnymi wydaniami.
Verify the installer signature
for the Notepad++ binaries you have.	dla plików binarnych Notepad++, które posiadasz.
Review system logs
for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).	w przypadku nietypowych uruchomień procesów w czasie aktualizacji (procesy instalatora, których nie rozpoznajesz, wywołania sieciowe do nietypowych domen).
Scan with EDR/AV
that can detect known backdoors reported by incident responders.	które potrafią wykrywać znane tylne furtki zgłaszane przez osoby reagujące na incydenty.
For organizations, it’s also reasonable to:	Dla organizacji rozsądne jest również:
Restrict updater components from reaching the internet	Ogranicz dostęp komponentów aktualizatora do Internetu
Use controlled software deployment (MSI packaging, internal repositories)	Stosuj kontrolowane wdrażanie oprogramowania (pakiety MSI, wewnętrzne repozytoria)
What this says about open-source dependencies	Co to mówi o zależnościach open source
Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.	Notepad++ jest darmowy, intensywnie wykorzystywany i często niedofinansowany w stosunku do swojego znaczenia. Ta rozbieżność objawia się kruchą infrastrukturą i niestandardowymi systemami aktualizacji, które nie zostały zaprojektowane z myślą o modelach zagrożeń na poziomie państwowym.
The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:	Szersza lekcja nie brzmi: „nie korzystaj z oprogramowania open source”. Chodzi o to, że powszechnie używane projekty open source wymagają:
Modern update frameworks	Nowoczesne struktury aktualizacji
Security reviews
Funding for infrastructure and incident response	Finansowanie infrastruktury i reagowania na incydenty
Bottom line
If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.	Jeśli używasz programu Notepad++, załóż, że kanał aktualizacji stanowił potencjalną powierzchnię ataku w 2025 r. Zainstaluj najnowszą wersję, preferuj instalacje oficjalne/ręczne i traktuj integralność aktualizatora (sygnatury i manifesty) jako rzeczywistą granicę bezpieczeństwa.
Sources
https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/	https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Zobacz wszystkie posty administratora
Courts let US offshore wind construction resume: what the injunctions signal	Sądy zezwalają na wznowienie budowy morskich elektrowni wiatrowych w USA: co oznaczają nakazy sądowe
Hair samples over a century show how regulations cut lead exposure	Próbki włosów zbierane przez ponad sto lat pokazują, jak przepisy ograniczają narażenie na ołów
Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Ars informuje, że infrastruktura aktualizacji Notepad++ była przez miesiące naruszona, co selektywnie przekierowywało niektórych użytkowników do złośliwych aktualizacji. Oto, jak działają przechwyty aktualizacji, dlaczego sygnatury są ważne i jak sprawdzić ryzyko.

Document Title

Notepad++ updater compromise: what happened and what users should do

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Page Content

Notepad++ updater compromise: what happened and what users should do

Nature

Climate

Technology

/ By

Admin

Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.

This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.

What the attack looked like

According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.

That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.

Why updaters are such a high-value target

Auto-update mechanisms are designed to do three dangerous things:

Fetch code from the internet

Write it to disk

Execute it

That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.

If an updater:

Doesn’t use strong TLS consistently

Doesn’t verify signatures correctly

Trusts a tamperable manifest file

…then intercepting or redirecting traffic can be enough to swap the payload.

The Notepad++ updater specifics (and the weak points)

Ars describes a bespoke updater (GUP / WinGUP) that:

Reports its version to a Notepad++ URL

Retrieves update instructions from an XML file

Downloads an installer to a temp directory and runs it

The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.

What versions users should be on

The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.

As a rule of thumb in incidents like this:

Prefer manual installation from the official site

Avoid third-party “download mirrors” and ad-filled search results

Treat unexpectedly timed update prompts as suspicious

How to assess your exposure

There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:

Confirm your installed version

and compare it to current releases.

Verify the installer signature

for the Notepad++ binaries you have.

Review system logs

for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).

Scan with EDR/AV

that can detect known backdoors reported by incident responders.

For organizations, it’s also reasonable to:

Restrict updater components from reaching the internet

Use controlled software deployment (MSI packaging, internal repositories)

What this says about open-source dependencies

Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.

The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:

Modern update frameworks

Security reviews

Funding for infrastructure and incident response

Bottom line

If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.

Sources

https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Document Title
Page not found - Florin.blog	Strona nie znaleziona - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Strona nie znaleziona - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.	Wygląda na to, że ta strona nie istnieje.
It looks like the link pointing here was faulty. Maybe try searching?	Wygląda na to, że link prowadzący do tego miejsca był uszkodzony. Może spróbuj poszukać?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Jako partner Amazon zarabiamy na kwalifikujących się zakupach — bez żadnych dodatkowych kosztów dla Ciebie.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...