Razvijač popularnog open source tekstualnog editora Notepad++ potvrdio je da su hakeri preuzeli kontrolu nad softverom kako bi korisnicima isporučili zlonamjerne ažuriranja tijekom nekoliko mjeseci u 2025. godini.
U blog objavi objavljenoj u ponedjeljak, Don Ho, razvijač Notepad++, izjavio je da su cyber napad najvjerojatnije izveli hakeri povezani s kineskom vladom između lipnja i prosinca 2025. godine, pozivajući se na višestruke analize sigurnosnih stručnjaka koji su ispitivali zlonamjerne programe i obrasce napada. Ho je rekao da bi to “objasnilo visoko selektivno ciljanje” koje je uočeno tijekom kampanje.
Rapid7, koji je istražio incident, pripisuje hakiranje grupi Lotus Blossom, dugogodišnjoj špijunskoj grupi poznatoj po radu za Kinu, te su rekli da su napadi ciljali vlade, telekomunikacije, zrakoplovstvo, kritičnu infrastrukturu i medijski sektor.
Notepad++ je jedan od najdugovječnijih open source projekata, koji traje više od dva desetljeća, i do danas bilježi barem desetke milijuna preuzimanja, uključujući zaposlenike organizacija širom svijeta.
Prema Kevinu Beaumontu, sigurnosnom istraživaču koji je prvi otkrio cyber napad i objavio svoja saznanja u prosincu, hakeri su kompromitirali mali broj organizacija “s interesima u Istočnoj Aziji” nakon što je netko nesvjesno koristio zaraženu verziju popularnog softvera. Beaumont je rekao da su hakeri uspjeli dobiti “ruke na” pristup računalima žrtava koje su koristile hakirane verzije Notepad++.
Ho je rekao da “točan tehnički mehanizam” kako su hakeri provalili u njegove poslužitelje još uvijek traje istraživanje, ali je pružio neke detalje o tome kako je napad izveden.
U blogu, Ho je rekao da je web stranica Notepad++ bila hostana na zajedničkom poslužitelju. Napadači su “specifično ciljali” web domenu Notepad++ s ciljem iskorištavanja greške u softveru kako bi preusmjerili neke korisnike na zlonamjerni poslužitelj koji su vodili hakeri. To je omogućilo hakerima da isporuče zlonamjerna ažuriranja određenim korisnicima koji su zatražili ažuriranje softvera, sve dok greška nije ispravljena u studenom i pristup hakera nije prekinut početkom prosinca.
„Imamo dnevnike koji pokazuju da je loša osoba pokušala ponovo iskoristiti jednu od ispravljenih ranjivosti; međutim, pokušaj nije uspio nakon što je ispravka provedena,” napisao je Ho.
U e-mailu, Ho je rekao TechCrunchu da je njegov pružatelj usluga potvrdio da je njegov zajednički poslužitelj bio kompromitiran, ali da pružatelj nije rekao kako su hakeri prvotno ušli.
Ho se ispričao zbog incidenta i pozvao korisnike da preuzmu najnoviju verziju svog softvera, koja sadrži ispravak za grešku.
