Notepad++ vaarantui – tässä mitä tapahtui ja miten suojaat tietokoneesi

• Notepad++:n hosting-palveluntarjoajan tili kaapattiin kesäkuun ja joulukuun 2025 välisenä aikana.
• Hyökkääjät ohjasivat sisäänrakennetun päivitysohjelman käyttäjien päivitysliikenteen haitallisille palvelimille.
• Vain sisäänrakennetun päivitysohjelman kautta päivittävät käyttäjät olivat vaarassa. Manuaaliset lataukset virallisista lähteistä olivat turvallisia.
• Sovellusbinäärejä ei vaarannettu. Hyökkäys hyödynsi heikkoja päivitysten varmennusmekanismeja.
• Kehittäjät vaihtoivat suojattuun isäntään, vaihtoivat tunnistetietoja ja paransivat WinGup-päivitysohjelman vahvistusta.

Notepad++, laajalti käytetty vaihtoehto Windows 11 :n omalle Muistio-sovellukselle, on vahvistanut, että sen hosting-palveluntarjoajan tili joutui haitallisten toimijoiden murtamaksi kesäkuun ja joulukuun 2025 välisenä aikana. Murron ansiosta hyökkääjät pystyivät ohjaamaan joitakin käyttäjiä haitallisille palvelimille vaarantuneiden päivitystiedostojen kautta.

Virallisen ilmoituksen mukaan tietoturva-asiantuntijat tunnistivat infrastruktuuritason hyökkäyksen Notepad++:n entisellä hosting-palveluntarjoajalla. Hyökkääjät hyödynsivät järjestelmää siepatakseen notepad-plus-plus.org- sivustolle suunnattua päivitysliikennettä ja kohdistivat haitallisia päivitystiedostoja tietylle käyttäjäryhmälle. Analyytikot ehdottavat, että hyökkäyksen kohdennettu luonne viittaa vakoiluyritykseen eikä laajaan haittaohjelmakampanjaan.

Haitalliset henkilöt säilyttivät aluksi pääsyn palvelimille 2. syyskuuta 2025 asti. Menetettyään suoran pääsyn he säilyttivät sisäiset palvelutunnukset 2. joulukuuta 2025 asti, mikä mahdollisti päivitysliikenteen jatkuvan sieppaamisen. Hyökkäys hyödynsi vanhempien Notepad++-versioiden tunnettuja haavoittuvuuksia, mukaan lukien riittämättömät päivitysten varmennusmekanismit.

Ketä tämä vaikutti?

Vain käyttäjät, jotka päivittivät Notepad++:n sisäänrakennetun päivitysohjelman kautta kesäkuun ja joulukuun 2025 välisenä aikana, olivat vaarassa. Käyttäjiin, jotka latasivat asennusohjelmat manuaalisesti viralliselta verkkosivustolta tai GitHub-julkaisuista, tämä ei kuitenkaan vaikuttanut .

Tietoturva-analyytikot vahvistavat, ettei ole näyttöä massakäsky- ja hallintahyökkäyksestä tai laajamittaisesta järjestelmän hyväksikäytöstä. Hyökkäys vaikuttaa erittäin kohdennetulta ja todennäköisesti kohdistuu tiettyihin organisaatioihin tai yksilöihin.

Korjaukset ja tietoturvaparannukset

Sovelluksen kehittäjän mukaan Notepad++ on vaihtanut uuteen, turvallisempaan hosting-palveluntarjoajaan estääkseen tulevat infrastruktuuritason vaarantumiset.

Edellisen palveluntarjoajan sisäisiä tunnistetietoja on kierrätetty, mikä varmistaa, että hyökkääjien mahdolliset jäljellä olevat käyttöoikeudet on peruutettu.

Sovelluksen päivitystyökalua, WinGupia, parannettiin versiossa 8.8.9 tarkistamaan sekä varmenne että asentajan allekirjoitus, mikä vahvisti päivitysten latausten turvallisuutta.

Muistiinpanosovelluksen odotetaan saavan myös version 8.9.2 tulevina viikkoina, joka edellyttää tiukkaa XMLDSig-varmenteiden ja allekirjoitusten varmennusta kaikissa päivityksissä ja suojaa käyttäjiä entisestään peukalointi- tai uudelleenohjaushyökkäyksiltä.

Mitä käyttäjien tulisi tehdä?

Notepad++-tiimi kehottaa kaikkia käyttäjiä päivittämään manuaalisesti versioon 8.9.1 tai uudempaan ja nollaamaan tunnistetiedot kaikille edelliseen hosting-ympäristöön liittyville palveluille, mukaan lukien SSH-, FTP- ja MySQL-tietokannat.

On myös hyvä ajatus suorittaa täydellinen virustorjuntatarkistus , jos päivitit sisäänrakennetulla päivitysohjelmalla kyseisenä aikana.

Tämä tapaus muistuttaa toimitusketjuhyökkäysten riskeistä ja tarpeesta varmistaa ohjelmistolähteiden ja latausten aitous. Jopa luotetut kehittäjätilit voidaan kaapata, mikä korostaa vankan hosting-turvallisuuden ja tiukan päivitysten varmentamisen tärkeyttä.