Notepad++ zhakowany - chińscy hakerzy wstrzykiwali złośliwe aktualizacje
Wielu użytkowników popularnego edytora tekstu Notepad++ padło ofiarą poważnego ataku cybernetycznego, który trwał prawie sześć miesięcy. Hakerzy przejęli kontrolę nad mechanizmem aktualizacji tego programu i wstrzykiwali do niego złośliwe oprogramowanie typu backdoor, znane jako "Chrysalis".
Czym był atak na Notepad++?
W 2025 roku cyberprzestępcy związani z chińską grupą hakerską Lotus Blossom (znaną także jako Lotus Panda / Billbug) dokonali zaawansowanego ataku na łańcuch dostaw oprogramowania (software supply chain attack). Zamiast włamywać się bezpośrednio do kodu Notepad++, złodzieje przejęli infrastrukturę serwera odpowiedzialnego za aktualizacje, dzięki czemu mogli wysyłać użytkownikom zainfekowane aktualizacje.
Jak długo trwał atak?
Atak rozpoczął się około czerwca 2025 r. i trwał, zanim został w pełni wykryty i zatrzymany, aż do 2 grudnia 2025 r.. W tym czasie hakerzy mogli wykorzystywać przejęte dane logowania i serwerowe środowisko, by przekierowywać aktualizacje do złośliwych wersji.
Kogo dotyczył atak?
Nie wszyscy użytkownicy Notepad++ zostali zainfekowani. Atak był wysoce ukierunkowany i selektywny - głównie dotyczył:
- organizacji rządowych,
- operatorów telekomunikacyjnych,
- firm z sektora lotniczego i infrastruktury krytycznej,
- mediów i dużych przedsiębiorstw,
- użytkowników posiadających zainstalowane aktualizacje w okresie czerwiec-grudzień 2025.
Nie jest znana dokładna liczba zainfekowanych urządzeń, ale według twórców projekt był starannie ukierunkowany, a nie szeroko rozprzestrzeniany.
Co to było za złośliwe oprogramowanie?
Hakerzy wstrzykiwali do aktualizacji tzw. backdoor o nazwie "Chrysalis" - ukryty moduł, który mógł:
- umożliwiać zdalny dostęp do komputera,
- wykonywać polecenia na zainfekowanym urządzeniu,
- obserwować aktywność systemu,
- przesyłać dane do serwera kontrolowanego przez hakerów.
To nie był zwykły wirus - to zaawansowany mechanizm cyber-szpiegostwa, który mógł służyć do kradzieży poufnych danych i ukierunkowanego monitoringu systemów.
Jak wyglądał mechanizm ataku?
Cyberprzestępcy nie zmienili kodu Notepad++ bezpośrednio. Zamiast tego:
- Włamali się do infrastruktury hostingowej, która obsługiwała aktualizacje.
- Przechwytywali żądania aktualizacji od wybranych użytkowników.
- Zamiast prawidłowych plików wysyłali zainfekowane aktualizacje zawierające backdoor.
- Atak był na tyle zaawansowany, że wiele antywirusów nie reagowało na niego jako na coś podejrzanego - wyglądał jak normalny proces aktualizacji.
Co teraz? Jak się chronić?
Jeśli używasz lub używałeś Notepad++ w okresie ataku, warto:
- natychmiast zaktualizować Notepad++ do wersji 8.9.1 lub nowszej,
- pobrać instalator tylko ze strony producenta,
- sprawdzić, czy nie wykonano podejrzanych aktualizacji w systemie,
- przeskanować systemy narzędziem antywirusowym lub EDR.
Twórcy programu i specjaliści bezpieczeństwa podkreślają również, że w przyszłości mechanizmy aktualizacji muszą być lepiej zabezpieczone, aby zapobiec podobnym atakom na inne projekty open-source.
Dlaczego to się stało?
Ten incydent to przykład tzw. ataku na łańcuch dostaw oprogramowania (software supply chain attack) - coraz częściej wykorzystywanego przez zaawansowane grupy hakerskie. Zamiast włamywać się do samego kodu, cyberprzestępcy celują w procesy dystrybucji i aktualizacji, które są słabym ogniwem w bezpieczeństwie wielu projektów.