Notepad++ güncelleme aracında yaşanan sorun: Neler oldu ve kullanıcılar ne yapmalı?

Yaygın olarak kullanılan bir Windows metin editörü olan Notepad++, güncelleme altyapısının aylarca tehlikeye girdiğini ve saldırganların bazı kullanıcıları seçici olarak kötü amaçlı güncellemelere yönlendirmesine olanak sağladığını bildirdi. Ars Technica'nın haberine göre, güvenlik açığı Haziran 2025'te başladı ve kontrol ancak Aralık ayında tamamen geri kazanıldı.

Bu, klasik bir tedarik zinciri modelidir: Saldırganlar her kurbanı doğrudan hedef almak yerine, güncelleme yolunu hedef alarak yazılımın kendisini dağıtım aracı haline getirirler.

Saldırının görüntüsü

Ars'a göre, saldırganlar Notepad++ alanına yönlendirilen güncelleme trafiğini engellemelerine ve yeniden yönlendirmelerine olanak tanıyan "altyapı düzeyinde" bir kontrol elde ettiler. Her kullanıcı etkilenmek yerine, yönlendirme seçiciydi ve yalnızca ilgi duyulan hedeflere yönelikti.

Bu seçicilik önemli bir ipucu. Saldırganların ya belirli bir hedef kitlesi olduğunu ya da enfeksiyon sayısını düşük tutarak tespit edilmekten kaçınmaya çalıştıklarını gösteriyor.

Güncelleme yapanların neden bu kadar değerli bir hedef olduğu

Otomatik güncelleme mekanizmaları üç tehlikeli şey yapmak üzere tasarlanmıştır:

İnternetten kod getir
Diske yazın
Uygula

Kötü amaçlı yazılımların tam olarak istediği şey bu. "Güncelleme" ile "bulaşma" arasında duran tek şey doğrulama.

Eğer bir güncelleme programı ise:

Güçlü TLS protokolünü tutarlı bir şekilde kullanmıyor.
İmzaları doğru şekilde doğrulamıyor.
Değiştirilebilir bir bildirim dosyasına güvenir.

…bu durumda trafiği engellemek veya yönlendirmek, veri paketini değiştirmek için yeterli olabilir.

Notepad++ güncelleme aracının özellikleri (ve zayıf noktaları)

Ars, özel olarak tasarlanmış bir güncelleme aracını (GUP / WinGUP) şu şekilde tanımlıyor:

Sürümünü bir Notepad++ URL'sine bildirir.
XML dosyasından güncelleme talimatlarını alır.
Kurulum dosyasını geçici bir dizine indirir ve çalıştırır.

Birçok sistemdeki zayıf nokta "manifest" adımıdır. Manifest değiştirilebiliyorsa veya düzenlenebiliyorsa, güncelleme programı herhangi bir indirme konumuna yönlendirilebilir.

Kullanıcıların hangi sürümleri kullanması gerekiyor?

Ars raporunda, geliştiricilerin kullanıcıları 8.9.1 veya daha yüksek bir sürüm kullandıklarından emin olmaya çağırdığı belirtiliyor.

Bu gibi olaylarda genel bir kural olarak şunlar geçerlidir:

Resmi siteden manuel kurulumu tercih edin.
Üçüncü taraf "indirme aynalarından" ve reklam dolu arama sonuçlarından kaçının.
Beklenmedik zamanlarda gelen güncelleme uyarılarını şüpheli olarak değerlendirin.

Maruziyetinizi nasıl değerlendirebilirsiniz?

Hedefli bir kampanya için mükemmel uzlaşma göstergeleri olmayabilir, ancak belirsizliği azaltabilirsiniz:

Yüklediğiniz sürümü doğrulayın.ve bunu mevcut sürümlerle karşılaştırın.
Yükleyicinin imzasını doğrulayın.Sahip olduğunuz Notepad++ dosyaları için.
Sistem kayıtlarını inceleyin.Güncelleme zamanlarında olağandışı işlem başlatmaları için (tanımadığınız yükleyici işlemleri, olağandışı alan adlarına yapılan ağ çağrıları).
EDR/AV ile tarama yapınOlay müdahale ekipleri tarafından bildirilen bilinen arka kapıları tespit edebilen bir sistem.

Kuruluşlar için aşağıdaki hususlar da makuldür:

Güncelleme bileşenlerinin internete erişimini kısıtlayın.
Kontrollü yazılım dağıtımını kullanın (MSI paketleme, dahili depolar).

Bu, açık kaynak bağımlılıkları hakkında ne söylüyor?

Notepad++ ücretsiz, yoğun olarak kullanılan ve önemine kıyasla genellikle yetersiz fonlanan bir program. Bu uyumsuzluk, kırılgan altyapı ve ulus devlet düzeyindeki tehdit modelleri için tasarlanmamış özel güncelleme sistemleri olarak ortaya çıkıyor.

Daha geniş anlamda çıkarılacak ders "açık kaynak kullanmayın" değil. Asıl ders, yaygın olarak kullanılan açık kaynak projelerinin şunlara ihtiyaç duyduğudur:

Modern güncelleme çerçeveleri
Güvenlik incelemeleri
Altyapı ve olay müdahalesi için finansman

Özetle

Notepad++ kullanıyorsanız, 2025 yılında güncelleme kanalının potansiyel bir saldırı yüzeyi olduğunu varsayın. Güncel bir sürüme geçin, resmi/manuel kurulumları tercih edin ve güncelleme programının bütünlüğünü (imzalar ve bildirimler) gerçek güvenlik sınırı olarak değerlendirin.

Kaynaklar

Document Title
Notepad++ updater compromise: what happened and what users should do	Notepad++ güncelleme aracında yaşanan sorun: Neler oldu ve kullanıcılar ne yapmalı?

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Ars'ın haberine göre, Notepad++ güncelleme altyapısı aylarca tehlikeye atılmış ve bazı kullanıcılar seçici olarak kötü amaçlı güncellemelere yönlendirilmişti. İşte güncelleme korsanlığının nasıl çalıştığı, imzaların neden önemli olduğu ve riskinizi kontrol etmek için atabileceğiniz pratik adımlar.
Title Attribute
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Admin tarafından yayınlanan tüm gönderileri görüntüle
Courts let US offshore wind construction resume: what the injunctions signal	Mahkemeler ABD açık deniz rüzgar enerjisi santrallerinin inşasına yeniden izin verdi: ihtiyati tedbir kararları ne anlama geliyor?
Hair samples over a century show how regulations cut lead exposure	Yüzyılı aşkın bir süre boyunca alınan saç örnekleri, düzenlemelerin kurşun maruziyetini nasıl azalttığını gösteriyor.
Page Content
Notepad++ updater compromise: what happened and what users should do	Notepad++ güncelleme aracında yaşanan sorun: Neler oldu ve kullanıcılar ne yapmalı?
Nature
Climate
/
Technology
/ By
Admin
Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.	Yaygın olarak kullanılan bir Windows metin editörü olan Notepad++, güncelleme altyapısının aylarca tehlikeye girdiğini ve saldırganların bazı kullanıcıları seçici olarak kötü amaçlı güncellemelere yönlendirmesine olanak sağladığını bildirdi. Ars Technica'nın haberine göre, güvenlik açığı Haziran 2025'te başladı ve kontrol ancak Aralık ayında tamamen geri kazanıldı.
This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.	Bu, klasik bir tedarik zinciri modelidir: Saldırganlar her kurbanı doğrudan hedef almak yerine, güncelleme yolunu hedef alarak yazılımın kendisini dağıtım aracı haline getirirler.
What the attack looked like
According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.	Ars'a göre, saldırganlar Notepad++ alanına yönlendirilen güncelleme trafiğini engellemelerine ve yeniden yönlendirmelerine olanak tanıyan "altyapı düzeyinde" bir kontrol elde ettiler. Her kullanıcı etkilenmek yerine, yönlendirme seçiciydi ve yalnızca ilgi duyulan hedeflere yönelikti.
That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.	Bu seçicilik önemli bir ipucu. Saldırganların ya belirli bir hedef kitlesi olduğunu ya da enfeksiyon sayısını düşük tutarak tespit edilmekten kaçınmaya çalıştıklarını gösteriyor.
Why updaters are such a high-value target	Güncelleme yapanların neden bu kadar değerli bir hedef olduğu
Auto-update mechanisms are designed to do three dangerous things:	Otomatik güncelleme mekanizmaları üç tehlikeli şey yapmak üzere tasarlanmıştır:
Fetch code from the internet
Write it to disk
Execute it
That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.	Kötü amaçlı yazılımların tam olarak istediği şey bu. "Güncelleme" ile "bulaşma" arasında duran tek şey doğrulama.
If an updater:	Eğer bir güncelleme programı ise:
Doesn’t use strong TLS consistently	Güçlü TLS protokolünü tutarlı bir şekilde kullanmıyor.
Doesn’t verify signatures correctly	İmzaları doğru şekilde doğrulamıyor.
Trusts a tamperable manifest file	Değiştirilebilir bir bildirim dosyasına güvenir.
…then intercepting or redirecting traffic can be enough to swap the payload.	…bu durumda trafiği engellemek veya yönlendirmek, veri paketini değiştirmek için yeterli olabilir.
The Notepad++ updater specifics (and the weak points)	Notepad++ güncelleme aracının özellikleri (ve zayıf noktaları)
Ars describes a bespoke updater (GUP / WinGUP) that:	Ars, özel olarak tasarlanmış bir güncelleme aracını (GUP / WinGUP) şu şekilde tanımlıyor:
Reports its version to a Notepad++ URL	Sürümünü bir Notepad++ URL'sine bildirir.
Retrieves update instructions from an XML file	XML dosyasından güncelleme talimatlarını alır.
Downloads an installer to a temp directory and runs it	Kurulum dosyasını geçici bir dizine indirir ve çalıştırır.
The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.	Birçok sistemdeki zayıf nokta "manifest" adımıdır. Manifest değiştirilebiliyorsa veya düzenlenebiliyorsa, güncelleme programı herhangi bir indirme konumuna yönlendirilebilir.
What versions users should be on	Kullanıcıların hangi sürümleri kullanması gerekiyor?
The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.	Ars raporunda, geliştiricilerin kullanıcıları 8.9.1 veya daha yüksek bir sürüm kullandıklarından emin olmaya çağırdığı belirtiliyor.
As a rule of thumb in incidents like this:	Bu gibi olaylarda genel bir kural olarak şunlar geçerlidir:
Prefer manual installation from the official site	Resmi siteden manuel kurulumu tercih edin.
Avoid third-party “download mirrors” and ad-filled search results	Üçüncü taraf "indirme aynalarından" ve reklam dolu arama sonuçlarından kaçının.
Treat unexpectedly timed update prompts as suspicious	Beklenmedik zamanlarda gelen güncelleme uyarılarını şüpheli olarak değerlendirin.
How to assess your exposure	Maruziyetinizi nasıl değerlendirebilirsiniz?
There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:	Hedefli bir kampanya için mükemmel uzlaşma göstergeleri olmayabilir, ancak belirsizliği azaltabilirsiniz:
Confirm your installed version	Yüklediğiniz sürümü doğrulayın.
and compare it to current releases.	ve bunu mevcut sürümlerle karşılaştırın.
Verify the installer signature	Yükleyicinin imzasını doğrulayın.
for the Notepad++ binaries you have.	Sahip olduğunuz Notepad++ dosyaları için.
Review system logs	Sistem kayıtlarını inceleyin.
for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).	Güncelleme zamanlarında olağandışı işlem başlatmaları için (tanımadığınız yükleyici işlemleri, olağandışı alan adlarına yapılan ağ çağrıları).
Scan with EDR/AV
that can detect known backdoors reported by incident responders.	Olay müdahale ekipleri tarafından bildirilen bilinen arka kapıları tespit edebilen bir sistem.
For organizations, it’s also reasonable to:	Kuruluşlar için aşağıdaki hususlar da makuldür:
Restrict updater components from reaching the internet	Güncelleme bileşenlerinin internete erişimini kısıtlayın.
Use controlled software deployment (MSI packaging, internal repositories)	Kontrollü yazılım dağıtımını kullanın (MSI paketleme, dahili depolar).
What this says about open-source dependencies	Bu, açık kaynak bağımlılıkları hakkında ne söylüyor?
Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.	Notepad++ ücretsiz, yoğun olarak kullanılan ve önemine kıyasla genellikle yetersiz fonlanan bir program. Bu uyumsuzluk, kırılgan altyapı ve ulus devlet düzeyindeki tehdit modelleri için tasarlanmamış özel güncelleme sistemleri olarak ortaya çıkıyor.
The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:	Daha geniş anlamda çıkarılacak ders "açık kaynak kullanmayın" değil. Asıl ders, yaygın olarak kullanılan açık kaynak projelerinin şunlara ihtiyaç duyduğudur:
Modern update frameworks	Modern güncelleme çerçeveleri
Security reviews
Funding for infrastructure and incident response	Altyapı ve olay müdahalesi için finansman
Bottom line
If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.	Notepad++ kullanıyorsanız, 2025 yılında güncelleme kanalının potansiyel bir saldırı yüzeyi olduğunu varsayın. Güncel bir sürüme geçin, resmi/manuel kurulumları tercih edin ve güncelleme programının bütünlüğünü (imzalar ve bildirimler) gerçek güvenlik sınırı olarak değerlendirin.
Sources
https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/	https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/
https://notepad-plus-plus.org/news/hijacked-incident-info-update/	https://notepad-plus-plus.org/news/hijacked-incident-info-update/
←
Previous Post
Next Post
→
oEmbed (JSON)
oEmbed (XML)
JSON
View all posts by Admin	Admin tarafından yayınlanan tüm gönderileri görüntüle
Courts let US offshore wind construction resume: what the injunctions signal	Mahkemeler ABD açık deniz rüzgar enerjisi santrallerinin inşasına yeniden izin verdi: ihtiyati tedbir kararları ne anlama geliyor?
Hair samples over a century show how regulations cut lead exposure	Yüzyılı aşkın bir süre boyunca alınan saç örnekleri, düzenlemelerin kurşun maruziyetini nasıl azalttığını gösteriyor.
Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.	Ars'ın haberine göre, Notepad++ güncelleme altyapısı aylarca tehlikeye atılmış ve bazı kullanıcılar seçici olarak kötü amaçlı güncellemelere yönlendirilmişti. İşte güncelleme korsanlığının nasıl çalıştığı, imzaların neden önemli olduğu ve riskinizi kontrol etmek için atabileceğiniz pratik adımlar.

Document Title

Notepad++ updater compromise: what happened and what users should do

Ars reports Notepad++ update infrastructure was compromised for months, selectively redirecting some users to malicious updates. Here’s how updater hijacks work, why signatures matter, and practical steps to check your risk.

Title Attribute

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Page Content

Notepad++ updater compromise: what happened and what users should do

Nature

Climate

Technology

/ By

Admin

Notepad++—a widely used Windows text editor—warned that its update infrastructure was compromised for months, enabling attackers to selectively redirect some users to malicious updates. Ars Technica reports the compromise began in June 2025 and that control wasn’t fully restored until December.

This is a classic supply-chain pattern: instead of exploiting each victim directly, attackers target the update path so the software itself becomes the delivery vehicle.

What the attack looked like

According to Ars, the attackers gained “infrastructure-level” control that let them intercept and redirect update traffic destined for the Notepad++ domain. Instead of every user being hit, the redirection was selective—aimed at targets of interest.

That selectivity is an important clue. It suggests the attackers either had a specific victim set or were trying to avoid detection by keeping infection volume low.

Why updaters are such a high-value target

Auto-update mechanisms are designed to do three dangerous things:

Fetch code from the internet

Write it to disk

Execute it

That’s exactly what malware wants. The only thing standing between “update” and “infection” is verification.

If an updater:

Doesn’t use strong TLS consistently

Doesn’t verify signatures correctly

Trusts a tamperable manifest file

…then intercepting or redirecting traffic can be enough to swap the payload.

The Notepad++ updater specifics (and the weak points)

Ars describes a bespoke updater (GUP / WinGUP) that:

Reports its version to a Notepad++ URL

Retrieves update instructions from an XML file

Downloads an installer to a temp directory and runs it

The weak point in many systems is the “manifest” step. If the manifest can be replaced or altered, the updater can be pointed at any download location.

What versions users should be on

The Ars report notes developers urged users to ensure they are running version 8.9.1 or higher.

As a rule of thumb in incidents like this:

Prefer manual installation from the official site

Avoid third-party “download mirrors” and ad-filled search results

Treat unexpectedly timed update prompts as suspicious

How to assess your exposure

There may not be perfect indicators of compromise for a targeted campaign, but you can reduce uncertainty:

Confirm your installed version

and compare it to current releases.

Verify the installer signature

for the Notepad++ binaries you have.

Review system logs

for unusual process launches around update times (installer processes you don’t recognize, network calls to unusual domains).

Scan with EDR/AV

that can detect known backdoors reported by incident responders.

For organizations, it’s also reasonable to:

Restrict updater components from reaching the internet

Use controlled software deployment (MSI packaging, internal repositories)

What this says about open-source dependencies

Notepad++ is free, heavily used, and often underfunded relative to its importance. That mismatch shows up as brittle infrastructure and custom update systems that weren’t designed for nation-state-level threat models.

The broader lesson is not “don’t use open source.” It’s that widely depended-on open-source projects need:

Modern update frameworks

Security reviews

Funding for infrastructure and incident response

Bottom line

If you use Notepad++, assume the update channel was a potential attack surface in 2025. Get to a current version, prefer official/manual installs, and treat updater integrity (signatures and manifests) as the real security boundary.

Sources

https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

←

→

oEmbed (JSON)

oEmbed (XML)

JSON

View all posts by Admin

Courts let US offshore wind construction resume: what the injunctions signal

Hair samples over a century show how regulations cut lead exposure

Document Title
Page not found - Florin.blog	Sayfa bulunamadı - Florin.blog
Image Alt
Florin.blog
Title Attribute
Florin.blog » Feed
RSD
Skip to content
Placeholder Attribute
Search...
Page Content
Page not found - Florin.blog	Sayfa bulunamadı - Florin.blog
Skip to content
Home
Blog
Garden Decor
Indoor
Main Menu
This page doesn't seem to exist.
It looks like the link pointing here was faulty. Maybe try searching?	Buraya yönlendiren bağlantı hatalı görünüyor. Belki arama yapmayı deneyebilirsiniz?
Search for:
Search
Quick Links
Outdoors
About
Contact
Explore
Bestsellers
Hot deals
Best of The Year
Featured
Gift Cards
Help
Privacy Policy
Disclaimer
: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.	Amazon Ortaklık Programı üyesi olarak, nitelikli satın alımlardan gelir elde ediyoruz - bu sizin için hiçbir ek maliyet oluşturmaz.
Florin.blog
Florin.blog » Feed
RSD
Search...

Document Title

Page not found - Florin.blog

Image Alt

Florin.blog

Title Attribute

Florin.blog » Feed

RSD

Placeholder Attribute

Search...

Page Content

Page not found - Florin.blog

Home

Blog

Garden Decor

Indoor

Main Menu

This page doesn't seem to exist.

It looks like the link pointing here was faulty. Maybe try searching?

Search for:

Quick Links

Outdoors

About

Contact

Explore

Bestsellers

Hot deals

Best of The Year

Featured

Gift Cards

Help

Disclaimer

: As an Amazon Associate, we earn from qualifying purchases — at no extra cost to you.

Florin.blog

Florin.blog » Feed

RSD

Search...