Хостер устранил взлом 2 сентября, но взломщики сохраняли возможность перенаправлять трафик до 2 декабря.

Предположительно взлом является точечным и не направлен на рядовых пользователей (так себе утешение), среди мишеней называются "телекоммуникационные и финансовые компании восточной Азии".

Признаками заражения могут быть:
- подозрительная активность процесса gup.exe, отправляющего запросы куда-нибудь помимо notepad-plus-plus.org;
- файлы AutoUpdater.exe либо update.exe во временном каталоге;
- каталог %AppData%\Bluetooth, содержащий в том числе файл BluetoothService.exe.

Неожиданной защитой российских пользователей можно считать слегка мешающую автообновлениям блокировку домена notepad-plus-plus.org с января 2025 года.