В блоге разработчика Don Ho написано, что хакеры из группы Lotus Blossom взломали общий хостинг, где расположен сайт Notepad++. Они перенаправили запросы обновления на свой сервер и от июня до декабря 2025 года отсылали вредоносные пакеты.
Что произошло
Пользователи, скачавшие обновление, получили изменённый исполняемый файл, который позволил злоумышленникам получать непосредственный доступ к их системам. По оценкам Rapid7, цель была узкой: государственные органы, телеком‑операторы, авиакомпании, критическая инфраструктура и медиа.
Почему это важно
Это второй крупный случай, когда государственный актор использовал цепочку поставок популярного OSS, напоминая атаку SolarWinds. Благодаря десяткам миллионов загрузок Notepad++, потенциальный охват стал глобальным, а на исправление уязвимости разработчики затратили более шести месяцев.
Что дальше
Разработчик выпустил исправленную версию и призвал всех пользователей установить её сразу. Кроме того, компании должны проверять подписи и хеш‑суммы каждой загрузки, особенно в корпоративных сетях.