Компрометация обновления Notepad++: что произошло и что должны делать пользователи.

Notepad++ — широко используемый текстовый редактор для Windows — предупредил, что его инфраструктура обновлений была взломана в течение нескольких месяцев, что позволяло злоумышленникам выборочно перенаправлять некоторых пользователей на вредоносные обновления. Издание Ars Technica сообщает, что взлом начался в июне 2025 года, и контроль был полностью восстановлен только в декабре.

Это классическая схема цепочки поставок: вместо того, чтобы напрямую атаковать каждую жертву, злоумышленники нацеливаются на путь обновления, так что само программное обеспечение становится средством доставки.

Как выглядела атака

По данным Ars, злоумышленники получили контроль над «инфраструктурным уровнем», что позволило им перехватывать и перенаправлять трафик обновлений, предназначенный для домена Notepad++. Вместо того чтобы атаковать каждого пользователя, перенаправление было избирательным — направленным на интересующие цели.

Такая избирательность — важная подсказка. Она предполагает, что у злоумышленников либо был определенный набор жертв, либо они пытались избежать обнаружения, поддерживая низкий уровень заражения.

Почему пользователи, обновляющие программы, являются столь ценной целью

Механизмы автоматического обновления предназначены для выполнения трех опасных действий:

Получить код из интернета
Записать на диск
Выполните это

Именно этого и добивается вредоносное ПО. Единственное, что отделяет «обновление» от «заражения», — это проверка.

Если обновление выполняется следующим образом:

Не использует надежный TLS постоянно.
Некорректно проверяет подписи.
Доверяет файлу манифеста, который может быть изменен.

…тогда перехват или перенаправление трафика может быть достаточным для подмены полезной нагрузки.

Особенности обновления Notepad++ (и его слабые места)

Издание Ars описывает специально разработанную программу обновления (GUP / WinGUP), которая:

Сообщает свою версию по URL-адресу Notepad++.
Извлекает инструкции по обновлению из XML-файла.
Загружает установщик во временную директорию и запускает его.

Слабое место во многих системах — это этап проверки манифеста. Если манифест можно заменить или изменить, программу обновления можно указать на любое место для загрузки.

Какие версии должны использовать пользователи?

В отчете Ars отмечается, что разработчики настоятельно рекомендовали пользователям убедиться, что они используют версию 8.9.1 или выше.

Как правило, в подобных инцидентах следует придерживаться следующего принципа:

Предпочтительнее установка вручную с официального сайта.
Избегайте сторонних «зеркал для скачивания» и результатов поиска, переполненных рекламой.
Неожиданно появившиеся запросы на обновление следует рассматривать как подозрительные.

Как оценить степень воздействия

Возможно, идеальных индикаторов компромисса для целевой кампании не существует, но вы можете уменьшить неопределенность:

Подтвердите установленную версиюи сравните его с текущими релизами.
Проверьте подпись установщика.для имеющихся у вас исполняемых файлов Notepad++.
Просмотрите системные журналы.для необычных запусков процессов во время обновлений (процессы установки, которые вы не узнаете, сетевые обращения к необычным доменам).
Сканирование с помощью EDR/AVспособный обнаруживать известные бэкдоры, о которых сообщают специалисты по реагированию на инциденты.

Для организаций также целесообразно следующее:

Ограничить доступ компонентов обновления к интернету.
Используйте контролируемое развертывание программного обеспечения (упаковка MSI, внутренние репозитории).

Что это говорит о зависимостях с открытым исходным кодом?

Notepad++ — бесплатный, широко используемый инструмент, который зачастую недофинансируется по сравнению со своей значимостью. Это несоответствие проявляется в хрупкой инфраструктуре и пользовательских системах обновления, которые не были разработаны для угроз государственного масштаба.

Главный вывод заключается не в том, что «не используйте открытый исходный код». Он в том, что проектам с открытым исходным кодом, от которых широко зависит множество людей, необходимы:

Современные фреймворки обновления
обзоры безопасности
Финансирование инфраструктуры и реагирования на инциденты.

Итог

Если вы используете Notepad++, имейте в виду, что канал обновлений представлял собой потенциальную уязвимость в 2025 году. Переходите на актуальную версию, отдавайте предпочтение официальной/ручной установке и рассматривайте целостность обновлений (сигнатуры и манифесты) как реальную границу безопасности.

Источники

Document Title
Notepad++ updater compromise: what happened and what users should do	Компрометация обновления Notepad++: что произошло и что должны делать пользователи.

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Издание Ars сообщает, что инфраструктура обновления Notepad++ была взломана в течение нескольких месяцев, выборочно перенаправляя некоторых пользователей на вредоносные обновления. Вот как работают перехватчики обновлений, почему важны сигнатуры и практические шаги для проверки уровня риска.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Просмотреть все публикации администратора
Courts let US offshore wind construction resume: what the injunctions signal	Суды разрешили возобновить строительство морских ветроэлектростанций в США: что означают эти судебные запреты.
Hair samples over a century show how regulations cut lead exposure	Анализ образцов волос за столетие показывает, как нормативные акты снижают воздействие свинца.
Page Content
Notepad++ updater compromise: what happened and what users should do	Компрометация обновления Notepad++: что произошло и что должны делать пользователи.
Nature
Climate
/
Technology
/ By
Admin
Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.	Notepad++ — широко используемый текстовый редактор для Windows — предупредил, что его инфраструктура обновлений была взломана в течение нескольких месяцев, что позволяло злоумышленникам выборочно перенаправлять некоторых пользователей на вредоносные обновления. Издание Ars Technica сообщает, что взлом начался в июне 2025 года, и контроль был полностью восстановлен только в декабре.
This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.	Это классическая схема цепочки поставок: вместо того, чтобы напрямую атаковать каждую жертву, злоумышленники нацеливаются на путь обновления, так что само программное обеспечение становится средством доставки.
What the attack looked like	Как выглядела атака
According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.	По данным Ars, злоумышленники получили контроль над «инфраструктурным уровнем», что позволило им перехватывать и перенаправлять трафик обновлений, предназначенный для домена Notepad++. Вместо того чтобы атаковать каждого пользователя, перенаправление было избирательным — направленным на интересующие цели.
That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.	Такая избирательность — важная подсказка. Она предполагает, что у злоумышленников либо был определенный набор жертв, либо они пытались избежать обнаружения, поддерживая низкий уровень заражения.
Why updaters are such a high-value target	Почему пользователи, обновляющие программы, являются столь ценной целью
Auto-update mechanisms are designed to do three dangerous things:	Механизмы автоматического обновления предназначены для выполнения трех опасных действий:
Fetch code from the internet	Получить код из интернета
Write it to disk
Execute it
That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.	Именно этого и добивается вредоносное ПО. Единственное, что отделяет «обновление» от «заражения», — это проверка.
If an updater:	Если обновление выполняется следующим образом:
Doesn’t use strong TLS consistently	Не использует надежный TLS постоянно.
Doesn’t verify signatures correctly	Некорректно проверяет подписи.
Trusts a tamperable manifest file	Доверяет файлу манифеста, который может быть изменен.
…then intercepting or redirecting traffic can be enough to swap the payload.	…тогда перехват или перенаправление трафика может быть достаточным для подмены полезной нагрузки.
The Notepad++ updater specifics (and the weak points)	Особенности обновления Notepad++ (и его слабые места)
Ars describes a bespoke updater (GUP / WinGUP) that:	Издание Ars описывает специально разработанную программу обновления (GUP / WinGUP), которая:
Reports its version to a Notepad++ URL	Сообщает свою версию по URL-адресу Notepad++.
Retrieves update instructions from an XML file	Извлекает инструкции по обновлению из XML-файла.
Downloads an installer to a temp directory and runs it	Загружает установщик во временную директорию и запускает его.
The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.	Слабое место во многих системах — это этап проверки манифеста. Если манифест можно заменить или изменить, программу обновления можно указать на любое место для загрузки.
What versions users should be on	Какие версии должны использовать пользователи?
The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.	В отчете Ars отмечается, что разработчики настоятельно рекомендовали пользователям убедиться, что они используют версию 8.9.1 или выше.
As a rule of thumb in incidents like this:	Как правило, в подобных инцидентах следует придерживаться следующего принципа:
Prefer manual installation from the official site	Предпочтительнее установка вручную с официального сайта.
Avoid third-party “download mirrors” and ad-filled search results	Избегайте сторонних «зеркал для скачивания» и результатов поиска, переполненных рекламой.
Treat unexpectedly timed update prompts as suspicious	Неожиданно появившиеся запросы на обновление следует рассматривать как подозрительные.
How to assess your exposure	Как оценить степень воздействия
There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:	Возможно, идеальных индикаторов компромисса для целевой кампании не существует, но вы можете уменьшить неопределенность:
Confirm your installed version	Подтвердите установленную версию
and compare it to current releases.	и сравните его с текущими релизами.
Verify the installer signature	Проверьте подпись установщика.
for the Notepad++ binaries you have.	для имеющихся у вас исполняемых файлов Notepad++.
Review system logs	Просмотрите системные журналы.
for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).	для необычных запусков процессов во время обновлений (процессы установки, которые вы не узнаете, сетевые обращения к необычным доменам).
Scan with EDR/AV	Сканирование с помощью EDR/AV
that can detect known backdoors reported by incident responders.	способный обнаруживать известные бэкдоры, о которых сообщают специалисты по реагированию на инциденты.
For organizations, it’s also reasonable to:	Для организаций также целесообразно следующее:
Restrict updater components from reaching the internet	Ограничить доступ компонентов обновления к интернету.
Use controlled software deployment (MSI packaging, internal repositories)	Используйте контролируемое развертывание программного обеспечения (упаковка MSI, внутренние репозитории).
What this says about open-source dependencies	Что это говорит о зависимостях с открытым исходным кодом?
Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.	Notepad++ — бесплатный, широко используемый инструмент, который зачастую недофинансируется по сравнению со своей значимостью. Это несоответствие проявляется в хрупкой инфраструктуре и пользовательских системах обновления, которые не были разработаны для угроз государственного масштаба.
The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:	Главный вывод заключается не в том, что «не используйте открытый исходный код». Он в том, что проектам с открытым исходным кодом, от которых широко зависит множество людей, необходимы:
Modern update frameworks	Современные фреймворки обновления
Security reviews	обзоры безопасности
Funding for infrastructure and incident response	Финансирование инфраструктуры и реагирования на инциденты.
Bottom line
If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.	Если вы используете Notepad++, имейте в виду, что канал обновлений представлял собой потенциальную уязвимость в 2025 году. Переходите на актуальную версию, отдавайте предпочтение официальной/ручной установке и рассматривайте целостность обновлений (сигнатуры и манифесты) как реальную границу безопасности.
Sources
https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/	https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
←
Previous Post	Предыдущая запись
Next Post	Следующая запись
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Просмотреть все публикации администратора
Courts let US offshore wind construction resume: what the injunctions signal	Суды разрешили возобновить строительство морских ветроэлектростанций в США: что означают эти судебные запреты.
Hair samples over a century show how regulations cut lead exposure	Анализ образцов волос за столетие показывает, как нормативные акты снижают воздействие свинца.
Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Издание Ars сообщает, что инфраструктура обновления Notepad++ была взломана в течение нескольких месяцев, выборочно перенаправляя некоторых пользователей на вредоносные обновления. Вот как работают перехватчики обновлений, почему важны сигнатуры и практические шаги для проверки уровня риска.

Document Title

Notepad++ updater compromise: what happened and what users should do

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Page Content

Notepad++ updater compromise: what happened and what users should do

Nature

Climate

Technology

/ By

Admin

Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.

This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.

What the attack looked like

According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.

That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.

Why updaters are such a high-value target

Auto-update mechanisms are designed to do three dangerous things:

Fetch code from the internet

Write it to disk

Execute it

That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.

If an updater:

Doesn’t use strong TLS consistently

Doesn’t verify signatures correctly

Trusts a tamperable manifest file

…then intercepting or redirecting traffic can be enough to swap the payload.

The Notepad++ updater specifics (and the weak points)

Ars describes a bespoke updater (GUP / WinGUP) that:

Reports its version to a Notepad++ URL

Retrieves update instructions from an XML file

Downloads an installer to a temp directory and runs it

The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.

What versions users should be on

The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.

As a rule of thumb in incidents like this:

Prefer manual installation from the official site

Avoid third-party “download mirrors” and ad-filled search results

Treat unexpectedly timed update prompts as suspicious

How to assess your exposure

There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:

Confirm your installed version

and compare it to current releases.

Verify the installer signature

for the Notepad++ binaries you have.

Review system logs

for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).

Scan with EDR/AV

that can detect known backdoors reported by incident responders.

For organizations, it’s also reasonable to:

Restrict updater components from reaching the internet

Use controlled software deployment (MSI packaging, internal repositories)

What this says about open-source dependencies

Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.

The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:

Modern update frameworks

Security reviews

Funding for infrastructure and incident response

Bottom line

If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.

Sources

https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Document Title
Page not found - Florin.blog	Страница не найдена - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content	Перейти к содержанию
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Страница не найдена - Florin.blog
Skip to content	Перейти к содержанию
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.	Похоже, эта страница не существует.
It looks like the link pointing here was faulty. Maybe try searching?	Похоже, ссылка, ведущая сюда, была некорректной. Может, попробовать поискать?
Search for:
Search
Quick Links
Outdoors	На открытом воздухе
About
Contact
Explore
Bestsellers
Hot deals	Горячие предложения
Best of The Year
Featured
Gift Cards	Подарочные карты
Help
Privacy Policy	политика конфиденциальности
Disclaimer	Отказ от ответственности
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	: Как партнер Amazon, мы зарабатываем на покупках, соответствующих условиям, — без дополнительных затрат с вашей стороны.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...