Célzott támadás: a szerver elleni akció háttere
A támadás 2025 júniusában kezdődött, amikor ismeretlen elkövetők betörtek a Notepad++ weboldalának tárhelyszolgáltatójához. A támadók nem a Notepad++ kódjában lévő sebezhetőségeket használták ki, hanem magát a tárhelyszolgáltató infrastruktúráját támadták, és így fértek hozzá a frissítések forgalmához. A leginkább érintett felhasználók forgalmát célzottan átirányították olyan szerverekre, amelyeket a támadók irányítottak. Itt fertőzött frissítéseket tudtak letölteni azok, akik beleestek ebbe a csapdába.
Állami hátterű hackercsoport a gyanú középpontjában
A vizsgálatban független biztonsági kutatók is részt vettek, akik szerint a támadók valószínűleg egy kínai állami támogatású hackercsoporthoz tartoznak. Ez magyarázza, hogy miért történt meg a forgalom szelektív átirányítása, és miért összpontosítottak kizárólag a Notepad++ domainjére. Az elemzések szerint más, ugyanott hosztolt oldalak vagy ügyfelek nem lettek a támadás célpontjai, a hackerek kizárólag a Notepad++-t igyekeztek kihasználni.
Védelmi lépések és új biztonsági irányelvek
A tárhelyszolgáltató reakciója gyors volt: minden ügyfél adatait új szerverekre helyezték át, és alapos vizsgálatot indítottak. Az első áttörést egy 2025. szeptember 2-án történt kernel- és firmware-frissítés hozta, amellyel sikerült megszüntetni a támadók közvetlen hozzáférését a szerverhez. Mindeközben a támadók bizonyos belső szolgáltatásokhoz használt hitelesítő adatokat egészen december 2-ig megtartották, így bizonyos forgalmat ez idő alatt is eltéríthettek. Az érintett időszakban a tárhelyszolgáltató folyamatosan cserélte a jelszavakat, kijavította a hibákat, és ellenőrizte az összes szervert, de nem talált hasonló kompromittálást más ügyfeleknél.
Emellett a Notepad++ fejlesztői oldalán is fontos változások történtek: az alkalmazás frissítő funkcióját (WinGup) 8.8.9-es verzióra frissítették, amely már ellenőrzi a letöltött telepítő tanúsítványát és aláírását is. Az újabb, 8.9.2-es kiadástól kezdve a szerverről érkező XML esetében is kötelező a digitális aláírás ellenőrzése.
Összegzés és tanulságok
Mindezt figyelembe véve a Notepad++ szervereinek kompromittálása júniustól december elejéig tartott, de a támadók tényleges behatolási lehetősége novemberben szűnhetett meg. A fejlesztők mélyen elnézést kértek a felhasználóktól, a weboldalt pedig egy jóval biztonságosabb új szolgáltatóhoz költöztették, továbbá az egész frissítési folyamat sokkal biztonságosabbá vált.
Az eset rávilágított: még a legnépszerűbb programok is sebezhetők lehetnek, ha azok infrastruktúrája támadhatóvá válik. A Notepad++ példája tovább erősíti, mennyire fontos a minden oldalról körültekintő biztonsági védelem és a folyamatos felügyelet.
