Lo sviluppatore del popolare editor di testo open supply Notepad++ ha confermato che gli hacker hanno violato il software program per fornire aggiornamenti dannosi agli utenti nel corso di diversi mesi nel 2025.
Nell’a articolo del blog pubblicato lunedì, lo sviluppatore di Notepad++ Don Ho ha affermato che l’attacco informatico è stato probabilmente effettuato da hacker associati al governo cinese tra giugno e dicembre 2025, citando molteplici analisi di esperti di sicurezza che hanno esaminato i payload del malware e i modelli di attacco. Ho detto che questo “spiegherebbe il focusing on altamente selettivo” visto durante la campagna.
Rapid7, che ha indagato sull’incidenteha attribuito l’hacking a Lotus Blossom, un gruppo di spionaggio di lunga information noto per lavorare per la Cina, e ha affermato che gli attacchi hanno preso di mira il governo, le telecomunicazioni, l’aviazione, le infrastrutture critiche e i settori dei media.
Notepad++ è uno dei progetti open supply più longevi, abbraccia più di due decenni e conta almeno decine di milioni di obtain fino advert oggi, anche da parte dei dipendenti di organizzazioni di tutto il mondo.
Secondo Kevin Beaumont, un ricercatore di sicurezza che ha scoperto per primo l’attacco informatico e ha scritto le sue scoperte a dicembre gli hacker hanno compromesso un piccolo numero di organizzazioni “con interessi nell’Asia orientale” dopo che qualcuno aveva involontariamente utilizzato una versione contaminata del popolare software program. Beaumont ha affermato che gli hacker sono riusciti a ottenere un accesso “pratico” ai pc delle vittime che eseguivano versioni dirottate di Notepad++.
Ho ha affermato che “l’esatto meccanismo tecnico” con cui gli hacker sono entrati nei suoi server è ancora oggetto di indagine, ma ha fornito alcuni dettagli su come è andato a buon effective l’attacco.
Nel weblog, Ho ha affermato che il sito Internet di Notepad++ period ospitato su un server di internet hosting condiviso. Gli aggressori hanno “preso di mira specificamente” il dominio net di Notepad++ con l’obiettivo di sfruttare un bug nel software program per reindirizzare alcuni utenti su un server dannoso gestito dagli hacker. Ciò ha consentito agli hacker di fornire aggiornamenti dannosi a determinati utenti che avevano richiesto un aggiornamento software program, fino al il bug è stato corretto a novembre e l’accesso degli hacker è stato interrotto all’inizio di dicembre.
“Disponiamo di registri che indicano che l’utente malintenzionato ha tentato di sfruttare nuovamente una delle vulnerabilità risolte; tuttavia, il tentativo non ha avuto successo dopo l’implementazione della correzione”, ha scritto Ho.
In una e-mail, Ho ha detto a TechCrunch che il suo supplier di internet hosting ha confermato che il suo server condiviso period compromesso ma che il supplier non ha detto come gli hacker inizialmente sono entrati.
Ho si è scusato per l’incidente e ha invitato gli utenti a scaricare il file versione più recente del suo software program, che contiene una correzione per il bug.
L’attacco informatico rivolto agli utenti di Notepad++ ricorda in qualche modo l’attacco informatico del 2019-2020 che ha colpito i clienti di SolarWinds, una società di software program che produce strumenti IT e di gestione della rete per le grandi organizzazioni Fortune 500, compresi i dipartimenti governativi. Le spie del governo russo sono entrate nei server dell’azienda e hanno segretamente installato una backdoor nel suo software program, consentendo alle spie russe di accedere ai dati sulle reti di quei clienti una volta lanciato l’aggiornamento.
La violazione di SolarWinds ha colpito various agenzie governative, tra cui la Homeland Safety e i Dipartimenti del Commercio, dell’Energia, della Giustizia e dello Stato.
Aggiornato con una risposta di Ho e con ulteriori dettagli di Rapid7.
