Notepad++ güncelleme saldırısı: Altı aylık ihlal, güncelleme araçlarına duyulan güven konusunda bize neler öğretiyor?

Notepad++'ın açıklamasına göre, 2025 yılında aylarca güncelleme trafiği ele geçirildi ve saldırganlar bazı kullanıcıları kötü amaçlı altyapılara yönlendirdi. BleepingComputer'ın haberine göre, güvenlik açığı Haziran 2025'te başladı ve barındırma sağlayıcısının ihlali tespit edip erişimi kesmesinin ardından 2 Aralık'ta sona erdi.

Bu olay, "HTTPS üzerinden indirme"nin eksiksiz bir güvenlik çözümü olmadığını hatırlatan faydalı bir örnektir. Güncelleme sistemleri güçlü, uçtan uca doğrulamaya ihtiyaç duyar; çünkü güvendiğiniz altyapı tehlikeye girebilir.

Saldırganların istismar ettiği şey

BleepingComputer, eski Notepad++ sürümlerindeki güncelleme doğrulama kontrollerinde bir açık olduğunu ve bu açığın saldırganların değiştirilmiş güncelleme bildirimleri sunmasına ve indirmeleri yeniden yönlendirmesine olanak sağladığını belirtiyor.

Kampanyanın dar kapsamlı ve seçici olduğu, bunun da kitlesel dağıtımdan ziyade belirli hedef kitlelere ulaşmayı önemseyen bir aktörün yaklaşımıyla tutarlı olduğu bildirildi.

Zaman çizelgesi önemlidir:

Haziran 2025'te ilk uzlaşmaya varıldı.
Çekirdek/firmware güncellemelerinin ardından Eylül ayı başlarında geçici bir kesinti yaşandı.
Çalınan dahili kimlik bilgileri aracılığıyla erişime 2 Aralık'a kadar devam edildi.

"Kimlik bilgilerinin düzeltme işleminden sonra ele geçirildiği" adımı, klasik bir olay müdahale başarısızlığıdır: Saldırganın zaten anahtarlara sahip olması durumunda sunucuyu yamalamak yeterli değildir.

Olaydan sonra Notepad++'da yapılan değişiklikler

BleepingComputer'ın haberine göre Notepad++, müşterilerini yeni bir barındırma sağlayıcısına taşıdı, kimlik bilgilerini değiştirdi ve doğrulama yöntemini geliştirdi.

WinGUP, 8.8.9 sürümünden itibaren şu özelliklere sahiptir:

Kurulum programının sertifikalarını ve imzalarını doğrular.
Kriptografik olarak imzalanmış güncelleme XML'ini kullanır.

Proje ayrıca 8.9.2 sürümünde zorunlu sertifika imza doğrulamasını da uygulamaya koymayı planlıyor.

İsteğe bağlı kontroller → daha güçlü kontroller → zorunlu kontroller şeklindeki bu ilerleme, yazılım dağıtımının zaman içinde nasıl güçlenmesi gerektiğinin tam bir örneğidir.

Kötü amaçlı yazılım boyutu: Chrysalis ve ilişkilendirme

BleepingComputer, Rapid7 araştırmasına atıfta bulunarak, ilgili bir kampanyanın Lotus Blossom (başka takma adlarla da anılıyor) olarak bilinen Çinli bir APT grubu ve "Chrysalis" adlı özel bir Rapid7 arka kapısı ile ilişkilendirildiğini belirtiyor.

Hedefli tedarik zinciri olaylarında, zararlı yazılım genellikle özel olarak tasarlanır. Bu nedenle temel savunma "tam olarak bu zararlı yazılımı tespit etmek" değil, "güncelleyici aracılığıyla yetkisiz herhangi bir zararlı yazılımın iletilmesini zorlaştırmak"tır.

Kuruluşların farklı olarak yapması gerekenler

Kurumsal bir ortamda yazılım yönetimi yapıyorsanız, bu olay birkaç savunma zaafına işaret ediyor:

Tüketici otomatik güncellemelerinden kaçının.Mümkün olduğunca kritik sistemlerde.
Yönetilen yazılım dağıtımını kullanın.(İç depolarda, Intune/SCCM'de vb. bulunan imzalı paketler).
İmzaları sabitleyin ve doğrulayın.Kurulum ve güncellemeler için.
"Güncelleme yollarını" izleyin.Kritik altyapı olarak: DNS, TLS denetim politikaları, proxy davranışı ve uç nokta yürütme zincirleri.

Bireysel kullanıcıysanız, pratik adımlar daha basittir:

Resmi siteden Notepad++'ın güncel sürümüne güncelleyin.
Normal yükleyiciye benzemeyen güncelleme uyarılarından şüphelenin.
Arama sonuçlarında resmi sayfaları taklit eden "şimdi indir" reklamlarından kaçının.

Özetle

Notepad++'ın altı aylık güncelleme saldırısı tek bir hatayla ilgili değildi; güven sınırlarıyla ilgiliydi. Eğer bir saldırgan manifest dosyasını değiştirebilirse veya imza kontrolleri zayıfsa, "güncellemeler" tasarım gereği uzaktan kod yürütmeye dönüşür. Çözüm, barındırma sağlayıcısı ele geçirilse bile atlatılamayan uçtan uca doğrulamadır.

Kaynaklar

Document Title
Notepad++ update hijack: what the six-month breach teaches about updater trust	Notepad++ güncelleme saldırısı: Altı aylık ihlal, güncelleme araçlarına duyulan güven konusunda bize neler öğretiyor?

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputer'ın haberine göre, 2025 yılında Notepad++ güncelleme trafiği ele geçirildi ve seçici yönlendirmelerle kötü amaçlı sunuculara yönlendirildi; daha sonra bu eylemin Çin devletiyle bağlantılı bir aktöre atfedildiği ortaya çıktı. İşte başarısız olanlar, düzeltilenler ve kuruluşların yazılım dağıtımını nasıl güçlendirebileceği.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Admin tarafından yayınlanan tüm gönderileri görüntüle
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	Microsoft, bir Windows güncelleme hatasının bilgisayarların kapanmasını engelleyebileceğini söylüyor: Etkilenen sistemler ve çözüm yolu.
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Kuzey Kutbu daha gürültülü hale geliyor ve narvallar daha sessizleşiyor: su altı gürültüsünün önemi
Page Content
Notepad++ update hijack: what the six-month breach teaches about updater trust	Notepad++ güncelleme saldırısı: Altı aylık ihlal, güncelleme araçlarına duyulan güven konusunda bize neler öğretiyor?
Nature
Climate
/
Technology
/ By
Admin
Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.	Notepad++'ın açıklamasına göre, 2025 yılında aylarca güncelleme trafiği ele geçirildi ve saldırganlar bazı kullanıcıları kötü amaçlı altyapılara yönlendirdi. BleepingComputer'ın haberine göre, güvenlik açığı Haziran 2025'te başladı ve barındırma sağlayıcısının ihlali tespit edip erişimi kesmesinin ardından 2 Aralık'ta sona erdi.
The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.	Bu olay, "HTTPS üzerinden indirme"nin eksiksiz bir güvenlik çözümü olmadığını hatırlatan faydalı bir örnektir. Güncelleme sistemleri güçlü, uçtan uca doğrulamaya ihtiyaç duyar; çünkü güvendiğiniz altyapı tehlikeye girebilir.
What the attackers exploited	Saldırganların istismar ettiği şey
BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.	BleepingComputer, eski Notepad++ sürümlerindeki güncelleme doğrulama kontrollerinde bir açık olduğunu ve bu açığın saldırganların değiştirilmiş güncelleme bildirimleri sunmasına ve indirmeleri yeniden yönlendirmesine olanak sağladığını belirtiyor.
The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.	Kampanyanın dar kapsamlı ve seçici olduğu, bunun da kitlesel dağıtımdan ziyade belirli hedef kitlelere ulaşmayı önemseyen bir aktörün yaklaşımıyla tutarlı olduğu bildirildi.
The timeline matters:
Initial compromise in June 2025	Haziran 2025'te ilk uzlaşmaya varıldı.
Temporary disruption in early September after kernel/firmware updates	Çekirdek/firmware güncellemelerinin ardından Eylül ayı başlarında geçici bir kesinti yaşandı.
Continued access via stolen internal credentials until December 2	Çalınan dahili kimlik bilgileri aracılığıyla erişime 2 Aralık'a kadar devam edildi.
That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.	"Kimlik bilgilerinin düzeltme işleminden sonra ele geçirildiği" adımı, klasik bir olay müdahale başarısızlığıdır: Saldırganın zaten anahtarlara sahip olması durumunda sunucuyu yamalamak yeterli değildir.
What Notepad++ changed after the incident	Olaydan sonra Notepad++'da yapılan değişiklikler
BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.	BleepingComputer'ın haberine göre Notepad++, müşterilerini yeni bir barındırma sağlayıcısına taşıdı, kimlik bilgilerini değiştirdi ve doğrulama yöntemini geliştirdi.
Starting with version 8.8.9, WinGUP:	WinGUP, 8.8.9 sürümünden itibaren şu özelliklere sahiptir:
Verifies installer certificates and signatures	Kurulum programının sertifikalarını ve imzalarını doğrular.
Uses cryptographically signed update XML	Kriptografik olarak imzalanmış güncelleme XML'ini kullanır.
The project also plans to enforce mandatory certificate signature verification in version 8.9.2.	Proje ayrıca 8.9.2 sürümünde zorunlu sertifika imza doğrulamasını da uygulamaya koymayı planlıyor.
That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.	İsteğe bağlı kontroller → daha güçlü kontroller → zorunlu kontroller şeklindeki bu ilerleme, yazılım dağıtımının zaman içinde nasıl güçlenmesi gerektiğinin tam bir örneğidir.
The malware angle: Chrysalis and attribution	Kötü amaçlı yazılım boyutu: Chrysalis ve ilişkilendirme
BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”	BleepingComputer, Rapid7 araştırmasına atıfta bulunarak, ilgili bir kampanyanın Lotus Blossom (başka takma adlarla da anılıyor) olarak bilinen Çinli bir APT grubu ve "Chrysalis" adlı özel bir Rapid7 arka kapısı ile ilişkilendirildiğini belirtiyor.
In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”	Hedefli tedarik zinciri olaylarında, zararlı yazılım genellikle özel olarak tasarlanır. Bu nedenle temel savunma "tam olarak bu zararlı yazılımı tespit etmek" değil, "güncelleyici aracılığıyla yetkisiz herhangi bir zararlı yazılımın iletilmesini zorlaştırmak"tır.
What organizations should do differently	Kuruluşların farklı olarak yapması gerekenler
If you manage software in an enterprise environment, this incident points to a few defensive defaults:	Kurumsal bir ortamda yazılım yönetimi yapıyorsanız, bu olay birkaç savunma zaafına işaret ediyor:
Avoid consumer auto-updaters	Tüketici otomatik güncellemelerinden kaçının.
on critical systems where possible.	Mümkün olduğunca kritik sistemlerde.
Use managed software distribution	Yönetilen yazılım dağıtımını kullanın.
(signed packages in internal repos, Intune/SCCM, etc.).	(İç depolarda, Intune/SCCM'de vb. bulunan imzalı paketler).
Pin and verify signatures	İmzaları sabitleyin ve doğrulayın.
for installers and updates.	Kurulum ve güncellemeler için.
Monitor “update paths”	"Güncelleme yollarını" izleyin.
as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.	Kritik altyapı olarak: DNS, TLS denetim politikaları, proxy davranışı ve uç nokta yürütme zincirleri.
If you’re an individual user, the practical steps are simpler:	Bireysel kullanıcıysanız, pratik adımlar daha basittir:
Update to a current Notepad++ version from the official site	Resmi siteden Notepad++'ın güncel sürümüne güncelleyin.
Be suspicious of update prompts that don’t look like the normal installer	Normal yükleyiciye benzemeyen güncelleme uyarılarından şüphelenin.
Avoid “download now” ads in search results that mimic official pages	Arama sonuçlarında resmi sayfaları taklit eden "şimdi indir" reklamlarından kaçının.
Bottom line
Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.	Notepad++'ın altı aylık güncelleme saldırısı tek bir hatayla ilgili değildi; güven sınırlarıyla ilgiliydi. Eğer bir saldırgan manifest dosyasını değiştirebilirse veya imza kontrolleri zayıfsa, "güncellemeler" tasarım gereği uzaktan kod yürütmeye dönüşür. Çözüm, barındırma sağlayıcısı ele geçirilse bile atlatılamayan uçtan uca doğrulamadır.
Sources
https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/	https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/	https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Admin tarafından yayınlanan tüm gönderileri görüntüle
Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround	Microsoft, bir Windows güncelleme hatasının bilgisayarların kapanmasını engelleyebileceğini söylüyor: Etkilenen sistemler ve çözüm yolu.
The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters	Kuzey Kutbu daha gürültülü hale geliyor ve narvallar daha sessizleşiyor: su altı gürültüsünün önemi
BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.	BleepingComputer'ın haberine göre, 2025 yılında Notepad++ güncelleme trafiği ele geçirildi ve seçici yönlendirmelerle kötü amaçlı sunuculara yönlendirildi; daha sonra bu eylemin Çin devletiyle bağlantılı bir aktöre atfedildiği ortaya çıktı. İşte başarısız olanlar, düzeltilenler ve kuruluşların yazılım dağıtımını nasıl güçlendirebileceği.

Document Title

Notepad++ update hijack: what the six-month breach teaches about updater trust

BleepingComputer reports Notepad++ update traffic was hijacked in 2025, with selective redirects to malicious servers and later attribution to a Chinese state-linked actor. Here’s what failed, what was fixed, and how orgs can harden software distribution.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Page Content

Notepad++ update hijack: what the six-month breach teaches about updater trust

Nature

Climate

Technology

/ By

Admin

Notepad++ says its update traffic was hijacked for months in 2025, with attackers intercepting and selectively redirecting some users to malicious infrastructure. BleepingComputer reports the compromise began in June 2025 and ended on December 2, after the hosting provider detected the breach and cut off access.

The incident is a useful reminder that “download over HTTPS” is not a complete security story. Update systems need strong, end-to-end verification—because the infrastructure you trust can be the thing that gets compromised.

What the attackers exploited

BleepingComputer describes a gap in update verification controls in older Notepad++ versions, enabling attackers to serve tampered update manifests and redirect downloads.

The campaign was reportedly narrow and selective, consistent with an actor that cares more about access to specific targets than mass distribution.

The timeline matters:

Initial compromise in June 2025

Temporary disruption in early September after kernel/firmware updates

Continued access via stolen internal credentials until December 2

That “credentials survived remediation” step is a classic incident-response failure: patching the server isn’t enough if the attacker already has keys.

What Notepad++ changed after the incident

BleepingComputer reports Notepad++ migrated clients to a new hosting provider, rotated credentials, and improved verification.

Starting with version 8.8.9, WinGUP:

Verifies installer certificates and signatures

Uses cryptographically signed update XML

The project also plans to enforce mandatory certificate signature verification in version 8.9.2.

That progression—optional checks → stronger checks → mandatory checks—is exactly how software distribution should harden over time.

The malware angle: Chrysalis and attribution

BleepingComputer references Rapid7 research attributing a related campaign to a Chinese APT group known as Lotus Blossom (also described with other aliases) and a custom backdoor Rapid7 named “Chrysalis.”

In targeted supply-chain incidents, the payload is often bespoke. That’s why the key defense is not “detect this exact malware,” but “make it hard to deliver any unauthorized payload through the updater.”

What organizations should do differently

If you manage software in an enterprise environment, this incident points to a few defensive defaults:

Avoid consumer auto-updaters

on critical systems where possible.

Use managed software distribution

(signed packages in internal repos, Intune/SCCM, etc.).

Pin and verify signatures

for installers and updates.

Monitor “update paths”

as critical infrastructure: DNS, TLS inspection policies, proxy behavior, and endpoint execution chains.

If you’re an individual user, the practical steps are simpler:

Update to a current Notepad++ version from the official site

Be suspicious of update prompts that don’t look like the normal installer

Avoid “download now” ads in search results that mimic official pages

Bottom line

Notepad++’s six-month update hijack wasn’t about a single bug—it was about trust boundaries. If an attacker can alter the manifest or the signature checks are weak, “updates” become remote code execution by design. The fix is end-to-end verification you can’t bypass, even when the hosting provider gets owned.

Sources

https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Microsoft says a Windows update bug can prevent shutdown—what’s affected and the workaround

The Arctic is getting louder and narwhals are getting quieter: why underwater noise matters

Document Title
Page not found - Florin.blog	Sayfa bulunamadı - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Sayfa bulunamadı - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?	Buraya yönlendiren bağlantı hatalı görünüyor. Belki arama yapmayı deneyebilirsiniz?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Amazon Ortaklık Programı üyesi olarak, nitelikli satın alımlardan gelir elde ediyoruz - bu sizin için hiçbir ek maliyet oluşturmaz.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...