Napadači su presretali i selektivno preusmjeravali zahtjeve za ažuriranje određenih korisnika ka zlonamjernim serverima, koristeći bezbjednosni propust u mehanizmu za provjeru ispravnosti ažuriranja u starijim verzijama Notepad++. Na taj način su korisnicima isporučivani izmjenjeni, kompromitovani paketi.

Izvještaj hosting provajdera zaduženog za sistem ažuriranja pokazuje da je server sa aplikacijom za update bio kompromitovan, dok su spoljni bezbjednosni stručnjaci utvrdili da je napad počeo u junu 2025. godine. Prema navodima developera, napad je bio usko ciljan i odnosio se samo na određene korisnike.

- Više nezavisnih bezbjednosnih istraživača procjenilo je da je napadač najvjerovatnije kineska državna grupa, što objašnjava visok stepen selektivnosti tokom kampanje - navodi se u saopštenju.

U decembru je objavljena verzija 8.8.9, koja je zakrpila bezbjednosni propust u WinGUp alatu za ažuriranje, nakon upozorenja istraživača da sistem može da preuzima zlonamjerne pakete. Bezbjednosni stručnjak Kevin Beaumont naveo je da zna za najmanje tri organizacije koje su bile pogođene ovim napadima, nakon čega je uslijedilo i aktivno ispitivane njihovih mreža.

Napad je privremeno prekinut početkom septembra, kada su ažurirani kernel i firmver servera, ali su se napadači vratili koristeći interne pristupne podatke koji nisu bili promjenjeni. Konačno su otkriveni i uklonjeni 2. decembra 2025. godine.

Notepad++ je u međuvremenu prešao na novog hosting provajdera, promjenio sve potencijalno kompromitovane podatke, otklonio ranjivosti i potvrdio da je zlonamjerna aktivnost zaustavljena. Najavljeno je i obavezno provjeravanje potpisa sertifikata u verziji 8.9.2, koja se očekuje za oko mjesec dana, prenosi "PCpress".