Notepad++ угрожен – ево шта се догодило и како да заштитите свој рачунар

• Налог провајдера хостинга компаније Notepad++ је отет између јуна и децембра 2025. године.
• Нападачи су преусмеравали саобраћај ажурирања за кориснике уграђеног програма за ажурирање на злонамерне сервере.
• Само су корисници који су ажурирали путем уграђеног програма за ажурирање били у опасности. Ручна преузимања из званичних извора била су безбедна.
• Бинарне датотеке апликација нису биле угрожене. Напад је искористио слабе контроле за верификацију ажурирања.
• Програмери су прешли на безбедан хост, ротирали акредитиве и побољшали верификацију програма за ажурирање WinGup-а.

Notepad++, широко коришћена алтернатива матичној апликацији Notepad у оперативном систему Windows 11 , потврдила је да је налог њеног хостинг провајдера био компромитован од стране злонамерних актера између јуна и децембра 2025. године. Пробој је омогућио нападачима да преусмере неке кориснике на злонамерне сервере путем компромитованих манифеста ажурирања.

Према званичном саопштењу , стручњаци за безбедност су идентификовали компромитовање на нивоу инфраструктуре код бившег провајдера хостинга компаније Notepad++. Нападачи су искористили систем да пресретну саобраћај ажурирања намењен notepad-plus-plus.org , циљајући подскуп корисника са злонамерним датотекама ажурирања. Аналитичари сугеришу да циљана природа напада указује на шпијунски покушај , а не на широку кампању злонамерног софтвера.

Злонамерне особе су у почетку одржавале приступ хостинг серверима до 2. септембра 2025. Чак и након губитка директног приступа, задржали су интерне акредитиве за сервис до 2. децембра 2025. године, омогућавајући континуирано пресретање саобраћаја ажурирања. Експлоатација је искористила познате рањивости у старијим верзијама Notepad++-а, укључујући недовољне контроле за верификацију ажурирања.

Ко је био погођен?

Само су корисници који су ажурирали Notepad++ путем уграђеног програма за ажурирање између јуна и децембра 2025. били у опасности. Међутим, корисници који су ручно преузимали инсталатере са званичне веб странице или издања са GitHub-а нису били погођени .

Безбедносни аналитичари потврђују да нема доказа о масовном командовању и контроли или широко распрострањеном искоришћавању система. Напад делује као веома циљан, вероватно на одређене организације или појединце.

Санација и побољшања безбедности

Према речима програмера апликације, Notepad++ је прешао на новог, безбеднијег провајдера хостинга како би спречио будуће компромисе на нивоу инфраструктуре.

Интерни акредитиви код претходног провајдера су ротирани, чиме је осигурано да је сваки преостали приступ од стране нападача опозван.

Програм за ажурирање апликације, WinGup, побољшан је у верзији 8.8.9 како би се проверио и сертификат и потпис инсталатера, чиме се ојачала безбедност преузимања ажурирања.

Очекује се да ће апликација за белешке добити верзију 8.9.2 у наредним недељама, која ће спровести строгу верификацију XMLDSig сертификата и потписа за сва ажурирања, додатно штитећи кориснике од напада преусмеравања или неовлашћеног мењања.

Шта би корисници требало да ураде?

Тим Notepad++ позива све кориснике да ручно ажурирају на верзију 8.9.1 или новију и ресетују акредитиве за све сервисе повезане са претходним окружењем за хостинг, укључујући SSH, FTP и MySQL базе података.

Такође је добра идеја да покренете потпуно антивирусно скенирање ако сте ажурирали помоћу уграђеног програма за ажурирање током погођеног периода.

Овај инцидент служи као подсетник на ризике напада на ланац снабдевања и потребу за провером аутентичности извора и преузимања софтвера. Чак и налози поузданих програмера могу бити отети, што истиче важност робусне безбедности хостинга и ригорозне верификације ажурирања.