Notepad++ este unul dintre acele programe mici care ajung să fie folosite peste tot, de la elevi care scriu un proiect la administratori de sistem și dezvoltatori care editează rapid fișiere de configurare sau fragmente de cod. Tocmai de aceea, când mecanismul oficial de actualizare nu mai duce utilizatorul la fișierele corecte, ci îl poate trimite către executabile compromise, problema nu mai arată ca un simplu incident tehnic, ci ca un exemplu clasic de atac de tip supply chain: intri pe o ușă aparent de încredere, dar în spate cineva a schimbat traseul.
Povestea a ieșit la suprafață anul trecut, după ce specialiști în securitate au observat că procesul de update al editorului putea fi deturnat. Mai exact, în anumite situații, traficul care ar fi trebuit să ajungă la infrastructura oficială Notepad++ era redirecționat către servere controlate de atacatori. Acolo, în locul fișierelor legitime, utilizatorii primeau instalatoare modificate, capabile să infecteze dispozitivele. Important este că nu vorbim despre un bug inofensiv, ci despre o situație în care cineva a reușit să intervină între aplicație și locul de unde își ia actualizările, schimbând fisierul de actualizare.
Acum, Don Ho, creatorul Notepad++, a revenit cu detalii după ce mai mulți experți au investigat incidentul. Concluzia lor, prezentată de Ho, este că actorul din spatele operațiunii este probabil un grup susținut de statul chinez. Afirmația nu vine doar ca o etichetă spectaculoasă, ci este legată de două observații din anchetă: campania a fost foarte selectivă și nu a afectat la fel pe toată lumea. Cu alte cuvinte, nu pare să fi fost o distribuție în masă, făcută la întâmplare, ci o intervenție orientată spre anumite ținte, cu redirecționări aplicate doar pentru un subset de utilizatori.
Asta ridică inevitabil întrebarea care, deocamdată, rămâne fără răspuns clar: cine anume a fost vizat. Din informațiile făcute publice, nu este clar ce tip de utilizatori au fost selectați și nici ce efecte concrete au avut fișierele descărcate asupra dispozitivelor lor. În astfel de atacuri, scopul poate varia de la instalarea unui backdoor care permite acces ulterior, până la colectarea de informații sau extinderea accesului către alte sisteme. În cazul de față, Ho spune explicit că nu se știe exact ce făceau fișierele pe calculatoarele infectate, iar această lipsă de vizibilitate e, în sine, un detaliu important: când instalatorul vine dintr-o sursă aparent legitimă, mulți utilizatori îl rulează fără să bănuiască ceva.
Cronologia descrisă până acum arată o fereastră lungă, de luni de zile. Redirecționările au început undeva în iunie 2025 și au continuat până pe 2 decembrie, ceea ce înseamnă că o perioadă semnificativă de timp mecanismul de update a putut fi influențat. Metoda folosită nu a fost, cel puțin din ce s-a comunicat, o spargere directă a codului Notepad++ sau un defect intern exploatat în aplicație, ci o compromitere la nivelul furnizorului de găzduire. Pe scurt, atacatorii au reușit să compromită sistemul la nivelul infrastructurii unde erau servite resursele necesare actualizărilor, iar asta le-a permis să intercepteze și să modifice traseul traficului.
Interesant este că partea exactă care a permis interceptarea traficului încă este investigată. Asta poate însemna mai multe lucruri, de la o configurație greșită pe partea de hosting, până la acces la servicii interne care gestionau domenii, redirecționări sau livrarea fișierelor. Din perspectivă tehnică deturnarea poate fi realizată în mai multe puncte ale lanțului. Un aspect esențial în astfel de situații este diferența dintre a compromite aplicația și a compromite calea pe care merge aplicația când își ia actualizările. Dacă cineva controlează drumul, poate livra un fișier infectat fără să fi atins neapărat codul sursă al proiectului.
După ce incidentul a fost semnalat, Notepad++ a lansat un patch de securitate. Din informațiile publice de pe site-ul proiectului, una dintre măsurile cheie a fost întărirea verificărilor făcute de updater, WinGUp, astfel încât instalatoarele descărcate în timpul procesului de update să fie verificate mai strict, inclusiv prin semnătură digitală și certificat, iar actualizarea să fie oprită dacă verificarea eșuează. Astfel de verificări sunt importante pentru că mută încrederea de la simplul fapt că fișierul vine de pe un server așteptat la faptul că fișierul are o amprentă criptografică validă, asociată editorului. În același timp, Notepad++ a migrat și către un furnizor nou de găzduire, despre care Ho spune că are practici de securitate mult mai solide, tocmai pentru a reduce riscul ca un incident similar să se repete.
Dincolo de mecanisme și detalii de infrastructură, rămâne partea practică pentru utilizatori: ce ar trebui să facă cineva care vrea să instaleze Notepad++ în siguranță, acum. Mesajul lui Don Ho este destul de direct: recomandă descărcarea versiunii 8.9.1, care include actualizarea de securitate, și rularea manuala a instalatorului. Ideea de a rula manual instalatorul, în loc de a te baza exclusiv pe un proces automat, nu este o soluție magică, dar poate reduce expunerea la scenarii în care un flux automatizat este deturnat și nu îți dai seama imediat. În practică, pentru mulți utilizatori, asta înseamnă să se asigure că descarcă din pagina oficială și că folosesc o versiune care a primit consilidările de securitate.
Cazul Notepad++ e și un memento că programele populare nu sunt atractive doar pentru că au milioane de utilizatori, ci și pentru că sunt instalate în locuri unde un atacator ar putea obține informații valoroase. Un editor de text pare inofensiv, dar ajunge să deschidă fișiere de configurare, chei, liste de parole, scripturi și fragmente de cod care pot oferi indicii despre infrastructuri, servere, conturi și proiecte. Dacă mai adaugi și ideea de selecție a țintelor, așa cum au observat investigatorii, rezultatul este o campanie care poate trece mult timp sub radar, tocmai pentru că nu provoacă un val uriaș de victime care să semnaleze imediat problema.
Rămâne de văzut ce alte detalii vor apărea pe măsură ce investigația avansează, mai ales în zona mecanismului exact de interceptare la nivelul furnizorului de hosting. Deocamdată, tabloul general este clar: redirecționări începute în iunie 2025, o perioadă care a durat până pe 2 decembrie 2025, livrare de executabile compromise către un set select de utilizatori, iar apoi o reacție care a inclus patch, întărirea verificărilor de integritate și autenticitate și mutarea către un furnizor nou de găzduire. Pentru un proiect open-source atât de răspândit, transparența asupra incidentului și recomandarea explicită de a folosi o versiune actualizată sunt, măcar, partea care ajută utilizatorii să-și reducă riscul imediat. Merită menționat că, din ce reiese până acum, cei mai expuși au fost utilizatorii care au făcut update automat pornind de la versiuni mai vechi de Notepad++, care nu aveau încă mecanisme solide de verificare a actualizărilor.
Versiunea 8.9.1 este indicată de Don Ho ca opțiunea care include actualizarea de securitate și care ar trebui instalată manual de pe website-ul oficial: https://notepad-plus-plus.org/downloads/. Dacă un utilizator are deja o instalare Notepad++ care a primit fișiere compromise, există riscul ca aplicația să continue să-și ia actualizările din aceleași surse nesigure. Și, realist vorbind, dacă sistemul a fost deja afectat, nu te poți baza doar pe instalarea unei versiuni curate de pe site-ul oficial ca să rezolvi totul. Într-un astfel de scenariu, e mai prudent să pornești de la o reinstalare completă a sistemului și să schimbi toate parolele care au fost salvate sau folosite pe acel dispozitiv pentru orice serviciu online.
Detalii tehnice despre aceasta breșă de securitate în mecanismul de update al Notepad++ gasiti aici: https://securelist.com/notepad-supply-chain-attack/118708/
Tu folosești actualizările automate pentru Notepad++ sau preferi să descarci manual instalatorul pentru update?
Dany
