Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Poważne naruszenie łańcucha dostaw Notepad++, aktualizacje były złośliwe
Jak czytamy w oficjalnym komunikacie N++. Serwer aktualizacji Notepad++ został przejęty na poziomie infrastruktury hostingodawcy, co umożliwiło atakującym przechwytywanie i przekierowywanie ruchu aktualizacji do serwera kontrolowanego przez nich, bez konieczności włamywania się do repozytorium kodu Notepad++. Atakujący podszywali się pod oficjalny mechanizm aktualizacji i dla wybranych, „interesujących” ofiar zwracali złośliwe manifesty aktualizacji prowadzące do zainfekowanych instalatorów.
Chronologia incydentu pokazuje bardzo długi okres ryzyka po stronie użytkowników. Twórca Notepad++ wskazuje, że kampania rozpoczęła się w czerwcu 2025, a całkowite odcięcie możliwości atakujących nastąpiło dopiero 2 grudnia 2025. Z perspektywy dostawcy hostingu serwer współdzielony, na którym działał skrypt aktualizacji (czyli getDownloadUrl.php), był bezpośrednio zhackowany do 2 września 2025, a po tym terminie atakujący utrzymywali dostęp dzięki przejętym poświadczeniom do usług wewnętrznych aż do początku grudnia. Analiza eksperta bezpieczeństwa sugeruje, że operacja faktycznie wygasła około 10 listopada 2025, ale przyjęto, że okres naruszenia trwał od czerwca do 2 grudnia 2025. Według oświadczenia dostawcy hostingu, atak miał charakter ukierunkowany: w logach nie znaleziono dowodów na ataki wobec wszystkich możliwych klientów, a napastnicy celowo szukali domeny notepad-plus-plus.org, aby przejąć ruch do mechanizmu aktualizacji. Kluczowym elementem umożliwiającym skuteczne nadużycie były nieprawidłowe mechanizmy weryfikacji integralności aktualizacji w starszych wersjach Notepad++, co pozwalało na wstrzyknięcie własnych, złośliwych URL-i aktualizacji po stronie przejętego środowiska hostingowego. To połączenie błędów po stronie dostawcy hostingu (podatności i błędy konfiguracyjne) oraz niewystarczającej walidacji aktualizacji po stronie samej aplikacji dało atakującym komfortową, wielomiesięczną możliwość działania.
Twórca Notepad++ podkreśla, że według kilku niezależnych analiz, incydent wygląda na operację grupy APT, z wysokim prawdopodobieństwem wskazującym na chiński rodowód. Wyjaśniałoby to zarówno selektywne celowanie w określonych użytkowników, jak i inwestycję w atak na poziomie infrastruktury hostingowej zamiast prostszych kampanii masowego malware (bo przecież mogli). Taki model ataku – zaufany kanał aktualizacji, jak i niewielki, precyzyjny zasięg, a także ukierunkowanie na popularne narzędzie programistyczne – dobrze wpisuje się w profil działań grup APT, dla których Notepad++ może być wektorem dojścia do środowisk developerskich i administracyjnych.
Po wykryciu incydentu zaangażowano zewnętrznych ekspertów ds. bezpieczeństwa oraz zespół IR (ang. Incident Response), który współpracował bezpośrednio z dotychczasowym dostawcą hostingu. Dostawca, po zidentyfikowaniu podejrzanych zdarzeń w logach, przeniósł wszystkie konta ze zhackowanego serwera na nową maszynę, załatał wykorzystywane podatności, zresetował (rollover) wszystkie poświadczenia do wewnętrznych usług oraz sprawdził pozostałe serwery pod kątem podobnych IoC (ang. Identificators of Compromise). Równolegle właściciel Notepad++ podjął decyzję o zmianie firmy hostingowej na taką, która deklaruje wyższe standardy bezpieczeństwa ;-)
Po stronie samego Notepad++ istotnie wzmocniono mechanizm aktualizacji. W wersji 8.8.9 WinGup (updater) został zmieniony tak, aby weryfikował zarówno certyfikat, jak i podpis cyfrowy pobieranego instalatora. Dodatkowo XML zwracany z serwera aktualizacji jest teraz podpisywany z użyciem XMLDSig, a egzekwowanie walidacji certyfikatu i podpisu ma być obowiązkowe od wersji 8.9.2, zaplanowanej około miesiąc po opublikowaniu komunikatu o incydencie. Celem jest ograniczenie zaufania do infrastruktury pośredniej (w tym hostingu) i przeniesienie krytycznej weryfikacji na warstwę kryptograficzną, kontrolowaną bezpośrednio przez twórców edytora.
Z punktu widzenia użytkowników, którzy mogli korzystać ze starszych wersji Notepad++ w okresie czerwiec–grudzień 2025, realne było ryzyko pobrania złośliwej aktualizacji. Oznacza to potencjalne zainfekowanie stacji roboczej przez kanał, który większość administratorów i developerów traktuje jako zaufany z definicji – oficjalny mechanizm autoaktualizacji popularnego narzędzia. Warto upewnić się, czy w Waszej firmie, taka aktualizacja nie zaistniała. Twórca Notepad++ przeprasza za powstałą sytuację i podkreśla, że w jego ocenie wszystkie ścieżki nadużyć zostały już zamknięte, zarówno po stronie aplikacji, jak i infrastruktury, choć szczegóły pierwotnego wektora wejścia u hostingodawcy nadal są przedmiotem analiz.
Będziemy Was informować na bieżąco jak temat zostanie zaktualizowany.
~Tomek Turba
Jak rozumiem, wektor ataku wyglądał tak, że po kliknięciu w programie auto update, ruch był przekierowany do zainfekowanego pliku instalacyjnego.
W przypadku bezpośredniego ściągania z repozytorium Notepad++ żaden wirus nie zostałby pobrany, gdyż hakerzy nie złamali repo i nie podmienili plików tam dostępnych, tak?
Też to tak rozumiem. Pobranie wersji 8.9.1 (która zawiera odpowiednie ulepszenia zabezpieczeń) i uruchomienie instalatora, aby ręcznie zaktualizować Notepad++ powinno wystarczyć.
Powinno wystarczyć? A co z ewentualnymi dropami? Innymi syfami, które działają sobie niezależnie od aktualizacji? Zdaje się, że 100% bezpieczną opcją jest przeinstalowanie PC od zera….
No to reinstaluj.
Pamiętaj, że są organizacje w których Notepad++ znajduje się na dziesiątkach tysięcy komputerów. Chcesz wszystko dawać do reimagine? To nie jest tak proste
Co robić? Jak żyć?
Sublime Text
od której do której wersji programu występują takie problemy?
Jakieś IOC są znane? Jak się mogę dowiedzieć czy aktualizacje które pobierałem (mam automatyczne aktualizacje) były zainfekowane?
Można policzyć hasz pliku sciagnietego i porównać z haszem pliku instalacyjnego z repozytorium. Lub dump z Hex edytora zrobić dla obu plików i porównać w winmerge. Tą samą wersja tego samego pliku powinna być taka sama niezależnie od źródła ściągnięcia
Wczorajszy dopisek do podlinkowanego komunikatu producenta wskazuje, że IOC nie uda się uzyskać ani z logów witrynu notepada++, ani od hostingu.
Może którejś z zainfekowanych organizacji uda się namierzyć atakujących, albo podadzą sygnatury plików. W wypadku kierowanych ataków one mogą być różne dla różnych celów. Słabo to widzę.
https://socradar.io/blog/notepad-infrastructure-hijacked/ tutaj masz IoC
Dzięki. A dokładniej jest na https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/. Jeżeli w organizacji praktykujecie blokowanie ruchu do IP z Malezji, to tym razem macie szczęście.
UPS.
Co zrobić jak żyć?
No nieźle…
Korzystałem z Notepad++ od około 8 lat na służbowym komputerze. Wykorzystuje go jedynie do notatek. Po aktualizacji w zeszłym rok jego włączanie trwa około 1-2 minuty, prędzej włączał się od razu. Czego szukać aby upewnić się, że mój komputer nie jest zainfekowany? Czy usunięcie programu pozwoli na uśnięcie złośliwego oprogramowania (pewnie nie…)
Zauważyłem podobny efekt kilka tygodni temu: n++ ładuje się kilkanaście sekund. Przeszło mi przez myśl, że podejrzane, ale, zrzucilem na kilkaset notatek otwartych W nim…
Pytanie jak sprawdzić, czy mam zhackowany komp?
Notepad zaczyna mulić jak masz bardzo dużo treści w otwartych zakładkach – szczególnie jeśli jest to kod a Ty masz włączone kolorowanie i sugerowanie składni. Za każdym pierwszym włączeniem wszystko to przelicza. Od drugiego włączenia w sesji pc jest już ok.
Na tą chwilę do tej pory nic się nie dzieje u mnie, a mam wersję 8.8.9 tego edytora
Witam, zainstalowałem notepad++ 22 października 2025 wersję 8.8.7, co mogę zrobić aby upewnić sie, że nie mam zainfekowanego komputera? Nie znam się na cyber bezpieczeństwie. Używam windows 11. Notatnik już odinstalowałem. Nie wiem co mam robić.
Jakieś sugestie co zrobić w przypadku posiadania wersji, która mogła by być dostępna? Jakieś sugestie jak sprawdzić czy Notepad++ był aktualizowany w okresie zagrożenia?
Mam w swoim płatnym VPN uruchomioną usługę filtrowania antymalware’owego. Używam Notepada++ od dawna i na pewno był też używany i aktualizowany w okresie czasu który jest wspominany w artykule. Skanowałem swoją stację wielokrotnie i nic nie znajdywałem. Albo skaner AV jest słaby i nie znajduje, albo ten moduł z mojego VPN naprawdę zdał egzamin.
Czy jest na forum ktoś kto też się tak zabezpiecza i może się wypowiedzieć w tej kwestii? Będę wdzięczny za wypowiedź.
W bardzo dużym uproszczeniu skanery av działają na podstawie porównywania hashy znanych zagrożeń oraz części kodu/analizy zachowania który jest klasyfikowany jako złośliwy. Tu masz zagrożenie celowane w wąską grupę wybranych ofiar – nie masowy atak na wszystkich więc takie definicje/próbki nie istniały dla antywirusów i dobrze przygotowane mogą być niewykrywalne długo – teraz po fakcie pojawia się bo próbki pewnie już są analizowane i badane. Druga sprawa smutne jest to że dalej ludzie dają się nabrać na slogany typu VPN = ochrona. Nie, VPN to nic innego jak pośrednik. Kolejne uproszczenie- zamiast pytać swojego dostawcę “daj mi namiary jak dotrzeć na sekurak.pl i połączyć się z serwisem/usługa/itd to łaczysz się z usługodawca VPN, i ruch jest szyfrowany więc Twój dostawca internetu nie widzi gdzie się łączysz. Ale dostawca VPN – już wie bo to on odpowiada za przesłanie Ci odpowiedzi co się znajduje za sekurak.pl czy gdziekolwiek się łączyłes. Ochrona? Jedynie anonimizacja/ukrycie przed operatorem że konkretnie Ty coś robiłeś w sieci (gdzie i tak firmy VPN nieraz udowodniły chętnie dzielą się ze służbami że ten gagatek stoi za tym i za tym). VPN to zerowa ochrona przed malwarem chyba że dostawca VPN dodatkowo blokuje Ci dostęp do stron znajdujących się na listach stron pishingowych itp ale to samo możesz zrobić bez VPN nie jest to unikalną cecha typu tylko VPN ci wytnie te strony.
-Nie jest to ochrona przed malware
-Nie pomaga w takich atakach jak ten opisywany
-Nie zapewnia 100% anonimowości w sieci
Na twoim miejscu określonym czy twoja profesja mogła sprawić że atak był wykierowany w ciebie jako potencjalny cel czy raczej w strefie internetowej nie jesteś “znaczącym graczem” nie udostępniasz swoich rozwiązań innym, nie masz dostępu do wartościowych i chronionych materiałów które mogłyby być dużo warte dla hackerów. W 99% przypadków odpowiedź będzie przecząca. Na razie brak szczegółów o zakresie ataku i o samym malware, czy był to atak który miał zapewnić dostęp do atakowanego pc, czy tylko wykraść co trzeba i zatrzeć po sobie ślady. Nie wiadomo czy w ogóle był jeden wariant czy malware był dobierany do ofiary skoro mogli typować komu taka aktualizacje zaproponują. Na razie pracować, obserwować. A jak jesteś w grupie ryzyka / spędza Ci to sen z powiek to zmiana hasel/dostępów dokładnie tak jakbyś zgubił laptopa i ktoś go przejął, kopia zapasowa danych i reinstalacja systemu.
Niekoniecznie zdały egzamin Twoje zabezpieczenia.
Możliwe i prawdopodobne jest to, że Ty nie byłeś na “liście celów” i pobieraleś czysty instalator :)
Ok a jak teraz sprawdzić czy padliśmy ofiarą ataku . Jak zweryfikować systemy
Ale co tak naprawdę się stało? – czym dokładnie infekowali nasze komputery? Jak możemy to rozpoznać? Dlaczego nie podano najistotniejszej informacji?… -_-
Podbijam pytanie kolegi.
Czy wiemy już, co rozsiewały lipne aktualizacje i jaki był tego najgorszy możliwy wpływ?
Ja bym instalował nową wersję z oficjalnej witryny tak na teraz. Jak najszybciej jeśli miałeś wersję npp z 2025 roku (ja nie mam).
Może też sprawdzenie komputera jakimś antywirusem… Chociaż jeśli to rzeczywiście atak państwowy, to pewnie nic nie wykryje (nawet jeśli jest zakażenie)… Ale może coś tam już wymyślili gdzieś na wykrywanie tego.
Hitem jest, że pewnie auto-aktualizacje z repozytorium Chocolatey omijały zhakowanego oficjalnego update’ra
a wiadomo kto był wśród “wybranych” ofiar?
Najważniejsze: czy istnieje jakieś ryzyko kradzieży danych? Co się wiąże z tą sytuacją? Jak teraz zapobiec wyciekom danych, jeśli poszły konie po betonie? Można jakąś odpowiedź? Dziękuję.
A jakieś porady dla użytkowników Notepad++ ???
Myślę że wszyscy powyżej możecie spać spokojnie. W razie zainfekowania, cóż możecie to uznać jako komplement :]
Brak kluczowej informacji co mogła taka spreparowana aktualizacja zrobić i jak sprawdzić systemy?
Teraz się cieszę że zawsze klikałem później
A wystarczyło wyłączyć aktualizacje. Jeśli coś działa i jest bezpieczne – nie potrzeba żadnych aktualizacji i nowych featuresów 😉 wiem że zostanę za to zjedzony, ale świadome korzystanie z sieci plus wyłączenie wszelakich aktualizacji to dla mnie najlepsza praktyka. Prywatnie da się tak żyć, zawodowo, wiadomo że nie. Trzeba mieć regularne latki bezpieczeństwa a przy okazji tone spamu, telemetrii i reklam.
Tak sie kończy brak podpisów. Pragnę zwrócić uwagę, że poważne programy, np. portfele, chociażby Electrum, mają po 3 podpisy PGP, trzech różnych osób.
Tak samo VeraCrypt, instalator jest zawsze podpisany.
Nawet takie strony jak anna’s archive mają klucze PGP dostępne (w FAQ), czy nawet niektóre od torrentów.
Brak podpisów = sygnał ostrzegawczy.
na ithardware pisali już o tym 12 grudnia 2025
Deweloperzy zalecają pobranie najnowszego instalatora ręcznie, z pominięciem aktualizatora dostępnego w starszych wersjach.
Jak dobrze, że akurat w tym czasie się formatowałem, jak dobrze, że nic nie znaczę xD chyba faktycznie trzeba będzie instalować ręcznie z porównywaniem hash instalatora.
Dla kolegow ze srodowiskiem MS ;)
let lookback = 7d;
let CleanVersion = dynamic([“8.8.9″,”8.9.1”]);
let VurnableNPPVersion =
DeviceProcessEvents
| where TimeGenerated >= ago(lookback)
| where ActionType == “ProcessCreated”
| where InitiatingProcessVersionInfoInternalFileName == “notepad++.exe”
| summarize arg_max(TimeGenerated, *) by DeviceName
| where not (InitiatingProcessVersionInfoProductVersion has_any (CleanVersion))
| distinct DeviceName;
DeviceNetworkEvents
| where TimeGenerated > ago(lookback)
//| where RemoteUrl has “notepad-plus-plus.org”
| where DeviceName has_any (VurnableNPPVersion)
| summarize arg_max(TimeGenerated, *) by DeviceName
Zasadnicze pytanie. Jakie szkody taka zlosliwa aktualizacja mogla wyrzadzic u uzytkownika? Czy byla wysylana zawartosc wszystkich zakladek ladowanych podczas uruchamiania notepad++? Mam ich prawie 200, niektore z wrazliwymi danymi. A moze ‘robila’ cos innego?
200 zakładek w notepad++? jak Ty się tam odnajdywałeś? :)
Cześć.
Napiszcie proszę co robić po takim fuckupie? N++ wywalony, skaner AV leci. Coś jeszcze?
Pozdrawiam
Wojciech
Jest dostępne takie narzędzie:
https://github.com/CreamyG31337/chrysalis-ioc-triage
Dla maksymalnej pewności odpalam:
.\Check-ChrysalisIoC.ps1 -ScanPaths ‘C:\Users’,’C:\ProgramData’
(jest podane w README.md jako “Example — broader hash scan:”), tylko że to sprawdza wszystko m.in. w C:\Users, trwa na większości kompów 1-2h, czasem dłużej.
Hej wszystkim, kończymy właśnie atrybucję i przypisanie IoC na podstawie badań Rapid7 i IoC-Triage dla Chrysalisa. Zaraz publikujemy.
ten skrypt z Github tego akurat nie sprawdza, ale znalazłem info, że w katalogu usera:
C:\Users\%username%\AppData\Roaming\Notepad++\plugins\Config\
NIE ma być zadnych DLL-i, a szczególnie wininet.dll
Jeśli program w danej wersji jest podmieniony to oznacza podmienione pliki w systemie. Czy nie ma możliwości wychwycenia tej różnicy w systemie. Np plik abc.exe ma być taki (hash, rozmiar), a jest inny? Autorzy N++ powinni wypuścić narzedzie do analizy składników własnego programu. Ale pewnie za mało wiem. Pozdrawiam.
Holera, instalowałem cały czas aktualizacje przez wyskakujące okienko w notepad++. Teraz nie wiem czy padłem ofiarą zhakowania czy też nie…
Już nigdy nie użyję tego programu. Dobrze mi znajomi mówili, żebym przesiadł się na vscode…
Najzabawniejsze jest to, że notepad++ jest zainstalowany w wielu placówkach oświatowych…
Czy w tym przypadku związanym z notepad++ dodatkowo przeskanowanie pc narzędziem Malwarebytes powinno rozwiać wątpliwości, czy pc jest zainfekowany?
Raczej na pewno
Haha, mam wersję portable 8.8.1 z maja minionego roku :-)
Ominęło mnie całe szambo.