Populárny textový editor Notepad++ bol v roku 2025 zneužitý v rámci cieleného supply-chain útoku, ktorý bezpečnostní experti pripisujú čínskemu štátom podporovanému aktérovi. Nešlo o chybu v samotnom programe, ale o kompromitáciu infraštruktúry pôvodného hostingového poskytovateľa, čo útočníkom umožnilo presmerovať aktualizácie na škodlivé servery. Zasiahnutí boli len vybraní používatelia, najmä firemné prostredia v Ázii.
Nie chyba v kóde, ale útok cez hosting
Vyšetrovanie ukázalo, že útočníci získali prístup k shared hostingu, na ktorom bežala aktualizačná infraštruktúra Notepad++. Vďaka tomu dokázali selektívne zachytávať update traffic smerujúci na oficiálnu doménu a niektorým používateľom podsunúť škodlivé aktualizačné manifesty. Samotný zdrojový kód editora pritom kompromitovaný nebol.
Útok prebiehal od júna 2025. Hostingový server bol síce technicky zabezpečený už začiatkom septembra, no útočníci si ponechali prihlasovacie údaje k interným službám, čo im umožnilo pokračovať v presmerovaniach až do decembra 2025.
Cielenie na konkrétne organizácie
Bezpečnostní výskumníci potvrdili, že útok nebol masový. Naopak, bol veľmi presne zacielený a zasiahol len konkrétnych používateľov, najmä v oblasti telekomunikácií a finančných služieb vo východnej Ázii. Práve táto selektívnosť je jedným z hlavných dôvodov, prečo sa incident pripisuje štátom podporovanému aktérovi.
Podľa dostupných informácií útočníci cielene vyhľadávali Notepad++ ako vstupný bod do firemných sietí, kde sa editor bežne používa na správu konfigurácií, skriptov či zdrojových kódov.
Prečo bol Notepad++ zaujímavý cieľ
Staršie verzie Notepad++ mali slabšie overovanie aktualizácií, ktoré nevyžadovalo dôslednú kontrolu podpisov update manifestov. To z neho spravilo vhodný nástroj pre supply-chain útok, pri ktorom útočník zneužije dôveru používateľa v oficiálny update mechanizmus.
Náprava a odporúčania
Po odhalení incidentu bol web Notepad++ presunutý k novému hostingovému poskytovateľovi a aktualizačný mechanizmus bol výrazne posilnený. Novšie verzie overujú certifikáty, digitálne podpisy inštalátorov a podpisy XML odpovedí zo servera. Povinné vynucovanie týchto kontrol má byť plne aktivované v nadchádzajúcej verzii.
Používateľom sa odporúča manuálne prejsť na aktuálnu verziu Notepad++ a nepoužívať staré inštalátory alebo automatické aktualizácie zo starších vydaní.
Zdroj: notepad-plus-plus.org
Komentáre