Notepad++ полгода раздавал зараженные обновления
dl // 02.02.26 14:36
С июня 2025 года взломанный хостинг популярного редактора Notepad++ перехватывал запросы на автообновление, перенаправляя их на вредоносные серверы, откуда уже приходил затрояненный инсталлятор в формате NSIS.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2026/02/01.html]
Ситуацию усугубило отсутствие надежной проверки получаемых обновлений (в частности, использование самоподписанного корневого сертификата, открыто лежащего на GitHub).
Хостер устранил взлом 2 сентября, но взломщики сохраняли возможность перенаправлять трафик до 2 декабря.
Предположительно взлом является точечным и не направлен на рядовых пользователей (так себе утешение), среди мишеней называются "телекоммуникационные и финансовые компании восточной Азии".
Признаками заражения могут быть:
- подозрительная активность процесса gup.exe, отправляющего запросы куда-нибудь помимо notepad-plus-plus.org;
- файлы AutoUpdater.exe либо update.exe во временном каталоге;
- каталог %AppData%\Bluetooth, содержащий в том числе файл BluetoothService.exe.
Неожиданной защитой российских пользователей можно считать слегка мешающую автообновлениям блокировку домена notepad-plus-plus.org с января 2025 года.
