Popularny edytor tekstu Notepad++ znalazł się w centrum jednego z najpoważniejszych incydentów bezpieczeństwa ostatnich lat. Nowe ustalenia potwierdzają, iż przez wiele miesięcy część użytkowników mogła nieświadomie pobierać złośliwe aktualizacje, a śledztwo prowadzi wprost do chińskiej, sponsorowanej przez państwo grupy hakerskiej. Co szczególnie niepokojące, atak nie polegał na wykorzystaniu błędu w samym kodzie Notepad++, ale na przejęciu infrastruktury, z której korzystał projekt.
Notepad++ zhakowany na poziomie hostingu
Z opublikowanych informacji wynika, iż napastnicy uzyskali dostęp do współdzielonego serwera hostingowego Notepad++, obsługującego domenę notepad-plus-plus.org. Dzięki temu mogli przechwytywać i selektywnie przekierowywać ruch aktualizacyjny wybranych użytkowników na własne, złośliwe serwery. W praktyce oznaczało to, iż część osób pobierała podmienione manifesty aktualizacji, użytkownik nie widział niczego podejrzanego, a instalator pochodził z infrastruktury kontrolowanej przez atakujących.
Eksperci podkreślają, iż nie była to masowa kampania. Atak był precyzyjny, wybiórczy i skierowany do konkretnych celów. To jeden z charakterystycznych elementów działań grup powiązanych z państwami.
Ślady prowadzą do Chin. Atak trwał miesiącami
Według niezależnych badaczy bezpieczeństwa, za incydentem najprawdopodobniej stała chińska grupa sponsorowana przez państwo. Tłumaczy to zarówno długotrwałość operacji, jak i jej selektywny charakter. Twórcy Notepad++ mogli zajść za skórę Chinom między innymi swoim podejściem do kwestii Hong Kongu, Tajwanu i Ujgurów.
Kolejne aktualizacje Notepad++ okraszone były często manifestami politycznymi. | Grafika: XPierwsze symptomy ataku na Notepad++ pojawiły się już w czerwcu 2025 roku. Choć dostęp do samego serwera zablokowano we wrześniu, napastnicy zachowali ważne dane uwierzytelniające, które pozwalały im przez cały czas manipulować ruchem aż do grudnia 2025 roku. Dopiero pełna rotacja kluczy, aktualizacja kernela oraz migracja na nową infrastrukturę definitywnie zakończyły incydent.
Co atak oznacza dla użytkowników Notepad++?
Najważniejsza informacja: autorzy projektu zareagowali, a luka została zamknięta. W wersji Notepad++ 8.8.9 wprowadzono istotne zmiany w mechanizmie aktualizacji, a najnowsza w tej chwili wersja to 8.9.1. Pojawiła się weryfikacja certyfikatu i podpisu instalatora oraz podpisywanie odpowiedzi serwera aktualizacji (XMLDSig). W nadchodzącej wersji 8.9.2 pojawi się też twarde wymuszanie weryfikacji.
Używacie Notepada++? Od czerwca do grudnia 2025 ktoś (prawdopodobnie Chińczycy) serwował dokładnie wybranym klientom złośliwe aktualizacje. W tym celu przejął kontrolę nad wynajętą infrastrukturą serwerową. Dobry strzał dla napastników. https://t.co/QwuiG3Zcdt pic.twitter.com/SlFRhGgUrA
— ZaufanaTrzeciaStrona @zaufanatrzeciastrona@infosec (@Zaufana3Strona) February 2, 2026Twórca Notepad++ wprost przeprosił użytkowników i zalecił ręczną instalację najnowszej wersji, zamiast polegania na starszym mechanizmie autoaktualizacji.
Jeśli używasz Notepad++, zrób to teraz
Jeżeli korzystasz z Notepad++ i nie aktualizowałeś go od dłuższego czasu, pobierz wersję 8.9.1 lub nowszą z oficjalnej strony, a następnie zainstaluj ją manualnie. Nie korzystaj z żadnych plików instalacyjnych pobranych wcześniej.
Choć incydent opanowano, to jest to kolejny sygnał ostrzegawczy: choćby zaufane, open source’owe narzędzia mogą stać się celem zaawansowanych operacji szpiegowskich, jeżeli zawiedzie infrastruktura.
Źródło: Instalki.pl via NotePad++
