Париж, Франция. Связанная с Китаем группа кибершпионажа взломала процесс обновления платформы для редактирования кода Notepad++, чтобы предоставить пользовательский бэкдор и другие вредоносные программы целевым пользователям, сообщили разработчик программы и исследователи кибербезопасности.
Подробности о разработчике: график компрометации
Разработчик Notepad++ Дон Хо сообщил в понедельник в своем блоге, что “злоумышленники” нацелились на процесс обновления для “определенных целевых пользователей”, начиная с июня 2025 года. Хо сказал, что хакеры имели доступ к серверу, на котором размещались обновления Notepad++, до 2 сентября 2025 года, но сохраняли учетные данные для доступа к некоторым сервисам хостинга до 2 декабря 2025 года.
Было неясно, на каких пользователей Notepad++ они были нацелены и сколько их было. Хо сообщил в электронном письме, что у него нет информации о том, сколько вредоносных обновлений было загружено, и что атака была очень избирательной, что указывает на преднамеренный таргетинг, а не на широкое распространение.
Информация о хостинге и домене
В блоге Хо появилось сообщение от его хостинг-провайдера, в котором говорилось, что сервер, используемый для доставки обновлений клиентам, “мог быть взломан” и что хакеры специально атаковали домен, связанный с Notepad++.
Данные о регистрации в Интернете показывают, что до 21 января домен размещался у литовского хостинг-провайдера Hostinger, что он подтвердил в электронном письме. Hostinger не сразу ответил на запрос о комментариях.
Атрибуция Rapid7 и предполагаемая история группы
Компания по кибербезопасности Rapid7 в своем блоге в понедельник приписала эту кампанию связанной с Китаем группе кибершпионажа, известной как Lotus Blossom. Rapid7 сообщает, что группа действует с 2009 года и исторически нацеливалась на правительственные, телекоммуникационные, авиационные, критически важные объекты инфраструктуры и СМИ в Юго-Восточной Азии, а в последнее время и в Центральной Америке.
Посольство Китая в Вашингтоне не сразу ответило на запрос о комментариях. Пекин регулярно отрицает попустительство хакерской деятельности или участие в ней.
Возможности вредоносных программ и связанные с ними инциденты
Rapid7 сообщила, что группа использовала свой доступ для создания пользовательского бэкдора, который позволял ей осуществлять интерактивный контроль над зараженными компьютерами, что затем могло быть использовано в качестве плацдарма для кражи данных и нацеливания на другие компьютеры.
Исследователь кибербезопасности Кевин Бомонт (Kevin Beaumont) в своем блоге от 2 декабря 2025 года сообщил, что ему известно о трех организациях, “имеющих интересы в Восточной Азии”, инциденты с безопасностью которых потенциально связаны с Notepad++.
Каким образом ваша организация проверяет целостность обновлений программного обеспечения для часто используемых инструментов?