Взлом Notepad++: Как Хакеры Годами Подменяли Обновления Популярного Редактора

Ключевые выводы

  • Хакеры взломали серверы Notepad++ и подменяли обновления для избранных пользователей
  • Атака длилась 6 месяцев — с июня по декабрь 2025 года
  • Эксперты связывают инцидент с китайскими государственными хакерами
  • Жертвами стали организации с интересами в Восточной Азии
  • Ситуация напомнила масштабный взлом SolarWinds в 2020 году
Популярный текстовый редактор Notepad++, который используют миллионы разработчиков и IT-специалистов, стал инструментом кибершпионажа. Мы разобрались, как хакеры с доступом к китайским спецслужбам годами оставались незамеченными и какие уроки стоит извлечь из этого инцидента.

Как обнаружили скрытую атаку

В декабре 2025 года исследователь безопасности Кевин Бомон заметил странности. Несколько сотрудников компаний из сферы международных отношений жаловались на сбои в работе Notepad++. Анализ показал: их версии редактора содержали скрытые модули для удалённого доступа.

Бомон связал точки. Оказалось, обновления приходили не с официальных серверов, а через промежуточный узел в Юго-Восточной Азии. Причем только избранным пользователям — тем, чьи организации работали с Китаем.

Создатель Notepad++ Дон Хо подтвердил эти данные. В своём блоге он рассказал, что взлом начался ещё в июне 2025 года. Хакеры использовали уязвимость в системе обновлений через shared-хостинг.

Технические детеди атаки

Атакующие сфокусировались на DNS-перенаправлении. Когда пользователь запрашивал обновление, часть трафика перехватывалась. Вместо оригинала приходила модифицированная версия с бэкдором.

Важный момент: в ноябре 2025 команда Notepad++ выпустила патч для уязвимости. Попытки взлома прекратились к декабрю. Но до этого хакеры успели получить доступ к десяткам компьютеров.

Дон Хо пояснил: "Мы видим в логах попытки повторного взлома после обновления. Но исправления сработали — атаки стали невозможны".

Кто стоит за кибератакой

Национальную принадлежность взломщиков не называют официально. Но эксперты по цифровой криминалистике нашли следы APT27 — группы, связанной с Министерством госбезопасности КНР.

Это объясняет высокую селективность жертв. Под удар попали только организации, анализирующие китайскую экономику или политику. Конкретное число пострадавших пока неизвестно — расследование продолжается.

Параллели с SolarWinds

Инцидент напомнил о громком взломе SolarWinds. В 2019-2020 годах российские хакеры внедрили бэкдор в систему обновлений этого сервиса. Пострадали госструктуры США, включая Минюст и Минэнерго.

Механизм похож: вместо прямого взлома защищённых сетей атакующие скомпрометировали канал обновлений. Так вредоносный код попадал на компьютеры автоматически, с доверенного источника.

Как защитить себя

Дон Хо рекомендует всем пользователям Notepad++ скачать версию 8.9.1 или новее. Она содержит критические исправления безопасности. Также стоит:

  • Проверить журналы обновлений за 2025 год
  • Просканировать систему антивирусом с обновлёнными базами
  • Включить двухфакторную аутентификацию для аккаунта на np++

Справка: ключевые сущности

Notepad++

Бесплатный текстовый редактор с открытым исходным кодом. Разработан Доном Хо в 2003 году как замена стандартному Блокноту Windows. Поддерживает подсветку синтаксиса для 80+ языков программирования. Скачан более 100 миллионов раз.

Дон Хо

Французский программист вьетнамского происхождения. Родился в 1973 году. Создал Notepad++ как побочный проект, будучи инженером в области телекоммуникаций. С 2005 года посвятил себя исключительно развитию редактора. Известен принципиальной позицией против коммерциализации ПО.

Кевин Бомон

Британский исследователь кибербезопасности. Работал в Microsoft, затем стал независимым консультантом. Специализируется на обнаружении APT-атак. В 2023 году предупредил о серии атак на инфраструктуру GitHub. Стал первооткрывателем бреши в Notepad++.

SolarWinds

Техасская компания, разрабатывающая инструменты для управления сетями. В 2020 году стала жертвой масштабной кибератаки. Хакеры внедрили бэкдор в систему обновлений Orion, что позволило проникнуть в сети тысяч организаций. Инцидент назвали "крупнейшим взломом десятилетия".

APT27

Продвинутая хакерская группа (Advanced Persistent Threat 27). Действует c 2013 года. Связана с подразделением 61486 НОАК. Специализируется на промышленном шпионаже. Известные операции: взломы немецких технологических компаний (2021) и атаки на Тайвань (2024).

История с Notepad++ показывает: даже проверенное временем ПО уязвимо. Главный урок — обновления нужно проверять, даже если они приходят из доверенных источников. После этого случая разработчики по всему миру пересматривают свои системы безопасности.

Интересно почитать :

Только 3 дня до стартап‑фестиваля Disrupt 2026: как успеть купить билет и
получить 50 % скидку на второй проход
Только 3 дня до стартап‑фестиваля Disrupt 2026: как успеть купить билет и получить 50 % скидку на второй проход

Ключевые выводы До 8 мая 2026 года остаётся только три дня, чтобы воспользоваться акцией «купите один билет — получите второй со скидкой 50 %». Участие в Disrupt 2026 открывает доступ …

Тесла планирует увеличить капитальные затраты до $25 млрд в 2026 г.: что значит
переход к ИИ и робототехнике
Тесла планирует увеличить капитальные затраты до $25 млрд в 2026 г.: что значит переход к ИИ и робототехнике

Ключевые выводы Тесла планирует потратить $25 млрд на капитальные вложения в 2026 году – почти в три раза больше, чем в предыдущие годы. Большая часть бюджета направлена на развитие ИИ, …

Krutrim меняет стратегию: от разработки ИИ‑моделей к облачным сервисам в Индии
Krutrim меняет стратегию: от разработки ИИ‑моделей к облачным сервисам в Индии

Ключевые выводы Krutrim перестраивает бизнес: от создания больших моделей к предоставлению облачных AI‑услуг. Компания уже обслуживает более 25 корпоративных клиентов и имеет почти полную загрузку GPU‑инфраструктуры. Финансовый год 2026 показал …

TurboQuant от Google: алгоритм сжатия памяти для ИИ, который сравнили с Pied
Piper из «Кремниевой долины»
TurboQuant от Google: алгоритм сжатия памяти для ИИ, который сравнили с Pied Piper из «Кремниевой долины»

Ключевые выводы Google Research представил TurboQuant — алгоритм, который сжимает рабочую память ИИ (KV cache) как минимум в 6 раз без потери точности. Интернет сразу сравнял TurboQuant с вымышленным Pied …

Как выбрать садовый измельчитель: 7 ключевых критериев для идеального
инструмента
Как выбрать садовый измельчитель: 7 ключевых критериев для идеального инструмента

Кратко: Определите тип питания — бензиновый или электрический. Выберите режущую систему (вал/фреза или ножи) в зависимости от объёма веток. Обратите внимание на мощность, диаметр пропускаемой ветки и наличие удобного мусоросборника. …

Meta купила Moltbook: что это значит для будущего AI-агентов и рекламы
Meta купила Moltbook: что это значит для будущего AI-агентов и рекламы

Ключевые выводы Meta приобрела Moltbook не ради самой платформы, а ради команды, создавшей экосистему AI-агентов Покупка — это стратегический ход в развитии "агентного веба", где AI-системы взаимодействуют автономно Это может …

ФильтрИзбранноеМеню43750 ₽
Top