Ключевые выводы
- Хакеры взломали серверы Notepad++ и подменяли обновления для избранных пользователей
- Атака длилась 6 месяцев — с июня по декабрь 2025 года
- Эксперты связывают инцидент с китайскими государственными хакерами
- Жертвами стали организации с интересами в Восточной Азии
- Ситуация напомнила масштабный взлом SolarWinds в 2020 году
Популярный текстовый редактор Notepad++, который используют миллионы разработчиков и IT-специалистов, стал инструментом кибершпионажа. Мы разобрались, как хакеры с доступом к китайским спецслужбам годами оставались незамеченными и какие уроки стоит извлечь из этого инцидента.
Как обнаружили скрытую атаку
В декабре 2025 года исследователь безопасности Кевин Бомон заметил странности. Несколько сотрудников компаний из сферы международных отношений жаловались на сбои в работе Notepad++. Анализ показал: их версии редактора содержали скрытые модули для удалённого доступа.
Бомон связал точки. Оказалось, обновления приходили не с официальных серверов, а через промежуточный узел в Юго-Восточной Азии. Причем только избранным пользователям — тем, чьи организации работали с Китаем.
Создатель Notepad++ Дон Хо подтвердил эти данные. В своём блоге он рассказал, что взлом начался ещё в июне 2025 года. Хакеры использовали уязвимость в системе обновлений через shared-хостинг.
Технические детеди атаки
Атакующие сфокусировались на DNS-перенаправлении. Когда пользователь запрашивал обновление, часть трафика перехватывалась. Вместо оригинала приходила модифицированная версия с бэкдором.
Важный момент: в ноябре 2025 команда Notepad++ выпустила патч для уязвимости. Попытки взлома прекратились к декабрю. Но до этого хакеры успели получить доступ к десяткам компьютеров.
Дон Хо пояснил: "Мы видим в логах попытки повторного взлома после обновления. Но исправления сработали — атаки стали невозможны".
Кто стоит за кибератакой
Национальную принадлежность взломщиков не называют официально. Но эксперты по цифровой криминалистике нашли следы APT27 — группы, связанной с Министерством госбезопасности КНР.
Это объясняет высокую селективность жертв. Под удар попали только организации, анализирующие китайскую экономику или политику. Конкретное число пострадавших пока неизвестно — расследование продолжается.
Параллели с SolarWinds
Инцидент напомнил о громком взломе SolarWinds. В 2019-2020 годах российские хакеры внедрили бэкдор в систему обновлений этого сервиса. Пострадали госструктуры США, включая Минюст и Минэнерго.
Механизм похож: вместо прямого взлома защищённых сетей атакующие скомпрометировали канал обновлений. Так вредоносный код попадал на компьютеры автоматически, с доверенного источника.
Как защитить себя
Дон Хо рекомендует всем пользователям Notepad++ скачать версию 8.9.1 или новее. Она содержит критические исправления безопасности. Также стоит:
- Проверить журналы обновлений за 2025 год
- Просканировать систему антивирусом с обновлёнными базами
- Включить двухфакторную аутентификацию для аккаунта на np++
Справка: ключевые сущности
Notepad++
Бесплатный текстовый редактор с открытым исходным кодом. Разработан Доном Хо в 2003 году как замена стандартному Блокноту Windows. Поддерживает подсветку синтаксиса для 80+ языков программирования. Скачан более 100 миллионов раз.
Дон Хо
Французский программист вьетнамского происхождения. Родился в 1973 году. Создал Notepad++ как побочный проект, будучи инженером в области телекоммуникаций. С 2005 года посвятил себя исключительно развитию редактора. Известен принципиальной позицией против коммерциализации ПО.
Кевин Бомон
Британский исследователь кибербезопасности. Работал в Microsoft, затем стал независимым консультантом. Специализируется на обнаружении APT-атак. В 2023 году предупредил о серии атак на инфраструктуру GitHub. Стал первооткрывателем бреши в Notepad++.
SolarWinds
Техасская компания, разрабатывающая инструменты для управления сетями. В 2020 году стала жертвой масштабной кибератаки. Хакеры внедрили бэкдор в систему обновлений Orion, что позволило проникнуть в сети тысяч организаций. Инцидент назвали "крупнейшим взломом десятилетия".
APT27
Продвинутая хакерская группа (Advanced Persistent Threat 27). Действует c 2013 года. Связана с подразделением 61486 НОАК. Специализируется на промышленном шпионаже. Известные операции: взломы немецких технологических компаний (2021) и атаки на Тайвань (2024).
История с Notepad++ показывает: даже проверенное временем ПО уязвимо. Главный урок — обновления нужно проверять, даже если они приходят из доверенных источников. После этого случая разработчики по всему миру пересматривают свои системы безопасности.
