Atac cibernetic asupra Notepad++: Actualizări software compromise

Atacul cibernetic asupra Notepad++

Dezvoltatorul popularului editor de text open source Notepad++, Don Ho, a confirmat că hackeri au deturnat software-ul pentru a livra actualizări malițioase utilizatorilor pe parcursul mai multor luni în 2025. Într-o postare pe blog publicată luni, Ho a declarat că atacul cibernetic a fost probabil realizat de hackeri asociați cu guvernul chinez între iunie și decembrie 2025. Această afirmație este susținută de multiple analize ale experților în securitate care au examinat încărcăturile malware și tiparele de atac. Ho a menționat că acest lucru «ar explica țintirea extrem de selectivă» observată în timpul campaniei.

Implicarea grupului Lotus Blossom

Rapid7, care a investigat incidentul, a atribuit hackingul grupului de spionaj Lotus Blossom, cunoscut pentru colaborarea cu China, și a declarat că atacurile au vizat sectoare guvernamentale, telecomunicații, aviație, infrastructură critică și media. Notepad++ este unul dintre cele mai vechi proiecte open source, având peste două decenii de existență și cel puțin zeci de milioane de descărcări până în prezent, inclusiv de către angajați din organizații din întreaga lume.

Descoperirea atacului și impactul său

Conform lui Kevin Beaumont, un cercetător de securitate care a descoperit atacul cibernetic și și-a publicat constatările în decembrie, hackerii au compromis un număr mic de organizații «cu interese în Asia de Est» după ce cineva a folosit fără să știe o versiune compromisă a software-ului popular. Beaumont a afirmat că hackerii au reușit să obțină acces «practic» la computerele victimelor care rulau versiuni deturnate ale Notepad++.

Mecanismul tehnic al atacului

Ho a declarat că «mecanismul tehnic exact» prin care hackerii au pătruns în serverele sale rămâne sub investigație, dar a oferit câteva detalii despre cum a avut loc atacul. În blogul său, Ho a spus că site-ul Notepad++ era găzduit pe un server de găzduire partajat. Atacatorii au «țintit în mod specific» domeniul web al Notepad++ cu scopul de a exploata un bug în software pentru a redirecționa unii utilizatori către un server malițios gestionat de hackeri. Acest lucru le-a permis hackerilor să livreze actualizări malițioase anumitor utilizatori care au solicitat o actualizare software, până când bug-ul a fost remediat în noiembrie și accesul hackerilor a fost întrerupt la începutul lunii decembrie.

Reacția și măsurile ulterioare

«Avem jurnale care indică faptul că actorul rău intenționat a încercat să exploateze din nou una dintre vulnerabilitățile remediate; totuși, tentativa nu a reușit după implementarea remedierii», a scris Ho. Într-un email, Ho a spus că furnizorul său de găzduire a confirmat că serverul său partajat a fost compromis, dar că furnizorul nu a specificat cum au pătruns inițial hackerii. Ho și-a cerut scuze pentru incident și a îndemnat utilizatorii să descarce cea mai recentă versiune a software-ului său, care conține o remediere pentru bug.

Paralele cu atacul SolarWinds

Atacul cibernetic care a vizat utilizatorii Notepad++ amintește de atacul cibernetic din 2019-2020 care a afectat clienții SolarWinds, o companie de software care produce instrumente de management IT și de rețea pentru organizații mari din Fortune 500, inclusiv departamente guvernamentale. Spionii guvernamentali ruși au pătruns în serverele companiei și au plantat în secret o ușă din spate în software-ul său, permițând spionilor ruși să acceseze datele din rețelele acelor clienți odată ce actualizarea a fost distribuită. Breșa SolarWinds a afectat mai multe agenții guvernamentale, inclusiv Securitatea Internă și Departamentele Comerțului, Energiei, Justiției și Statului.