- Notepad++ sin webhotellleverandørkonto ble kapret mellom juni og desember 2025.
- Angripere omdirigerte oppdateringstrafikk for brukere av den innebygde oppdateringsprogrammet til ondsinnede servere.
- Bare brukere som oppdaterte via den innebygde oppdateringsfunksjonen var i faresonen. Manuelle nedlastinger fra offisielle kilder var trygge.
- Appbinærfiler ble ikke kompromittert. Angrepet utnyttet svake kontroller for oppdateringsverifisering.
- Utviklere byttet til en sikker vert, roterte påloggingsinformasjon og forbedret WinGup-oppdateringsverifisering.
Notepad++, et mye brukt alternativ til Windows 11s innebygde Notepad-app, har bekreftet at hostingleverandørens konto ble kompromittert av ondsinnede aktører mellom juni og desember 2025. Innbruddet tillot angripere å omdirigere noen brukere til ondsinnede servere via kompromitterte oppdateringsmanifester.
Ifølge den offisielle opplysningen identifiserte sikkerhetseksperter et sikkerhetsbrudd på infrastrukturnivå hos Notepad++s tidligere hostingleverandør. Angriperne utnyttet systemet til å avlytte oppdateringstrafikk som var ment for notepad-plus-plus.org , og rettet seg mot en undergruppe av brukere med skadelige oppdateringsfiler. Analytikere antyder at angrepets målrettede natur peker mot et spionasjeforsøk snarere enn en omfattende skadevarekampanje.
De ondsinnede personene beholdt i utgangspunktet tilgang til hostingserverne frem til 2. september 2025. Selv etter å ha mistet direkte tilgang, beholdt de interne tjenestelegitimasjon frem til 2. desember 2025, noe som muliggjorde fortsatt avlytting av oppdateringstrafikk. Utnyttelsen utnyttet kjente sårbarheter i eldre Notepad++-versjoner, inkludert utilstrekkelige kontroller for oppdateringsverifisering.
Hvem ble berørt?
Bare brukere som oppdaterte Notepad++ via den innebygde oppdateringsfunksjonen mellom juni og desember 2025 var i faresonen. Brukere som lastet ned installasjonsprogrammer manuelt fra det offisielle nettstedet eller GitHub-utgivelser ble imidlertid ikke berørt .
Sikkerhetsanalytikere bekrefter at det ikke finnes bevis for massekommando og -kontroll eller utbredt systemutnyttelse. Angrepet ser ut til å være svært målrettet, sannsynligvis mot bestemte organisasjoner eller enkeltpersoner.
Utbedring og sikkerhetsforbedringer
Ifølge appens utvikler har Notepad++ byttet til en ny, sikrere hostingleverandør for å forhindre fremtidige kompromisser på infrastrukturnivå.
Interne påloggingsinformasjon hos den forrige leverandøren har blitt rotert, noe som sikrer at eventuell gjenværende tilgang fra angriperne har blitt tilbakekalt.
Appens oppdateringsprogram, WinGup, ble forbedret i versjon 8.8.9 for å bekrefte både sertifikatet og installasjonssignaturen, noe som styrker sikkerheten for nedlastinger av oppdateringer.
Notatappen forventes også å motta versjon 8.9.2 i løpet av de kommende ukene, som vil håndheve streng XMLDSig-sertifikat- og signaturverifisering for alle oppdateringer, noe som ytterligere beskytter brukere mot manipulerings- eller omdirigeringsangrep.
Hva bør brukerne gjøre?
Notepad++-teamet oppfordrer alle brukere til å manuelt oppdatere til versjon 8.9.1 eller nyere og tilbakestille påloggingsinformasjonen for alle tjenester knyttet til det forrige hostingmiljøet, inkludert SSH-, FTP- og MySQL-databaser.
Det er også lurt å kjøre en fullstendig antivirusskanning hvis du oppdaterte ved hjelp av den innebygde oppdateringen i løpet av den berørte perioden.
Denne hendelsen tjener som en påminnelse om risikoen ved angrep i forsyningskjeden og behovet for å bekrefte ektheten til programvarekilder og nedlastinger. Selv pålitelige utviklerkontoer kan bli kapret, noe som understreker viktigheten av robust hostingsikkerhet og grundig oppdateringsverifisering.