Проект Notepad++, популярный текстовый и программный редактор с открытым исходным кодом, выпустил обновление безопасности, закрывающее серьезную проблему в механизме автоматического обновления. Эта уязвимость ранее была использована для скрытой доставки вредоносных программ конкретным пользователям.
Что произошло
Атака затрагивала встроенную систему обновлений которая обновляла компонент WinGUp. С июня 2025 по декабрь 2025 года злоумышленники перенаправляли часть запросов на обновление Notepad++ с официального сервера на свои контролируемые серверы, где пользователям предлагались вредоносные установщики вместо официальных обновлений. Этот инцидент стал примером атаки по цепочке поставок (supply-chain attack).
Исследователи из Rapid7 и Kaspersky обнаружили, что взломали инфраструктуру хостинг-провайдера, обслуживавшего обновления Notepad++. Там злоумышленники могли контролировать трафик и избирательно отправлять зараженные обновления только определённым целям.
Сопутствующая вредоносная программа получила название Chrysalis. Её эксплуатация была зарегистрирована и присвоена идентификатору уязвимости CVE-2025-15556 с высокой оценкой критичности, что подтвердило серьёзность инцидента.
Как это исправили
В версии 8.9.2 разработчики внедрили обновлённый механизм обновлений с так называемым двойным замком, который делает процесс обновления гораздо более защищённым и практически необъективно эксплуатируемым:
проверка цифровой подписи установщика, загружаемого с GitHub (начиная с версии 8.8.9);
проверка цифровой подписи XML-ответа от сервера обновлений на официальном домене notepad-plus-plus.org;
удаление компонента libcurl.dll, чтобы исключить риск DLL-сиделодинга;
отключение небезопасных SSL-опций в cURL;
ограничение запуска менеджера плагинов только программами с тем же сертификатом подписи, что и WinGUp.
Кроме этого, обновление закрывает ещё одну высоко критичную уязвимость (CVE-2026-25926), связанную с возможностью выполнения произвольного кода в контексте запущенного приложения.
Разработчики настоятельно рекомендуют всем пользователям немедленно обновиться до версии 8.9.2 и убедиться, что установщик скачан с официального сайта. Это позволит избежать риска установки вредоносного кода через подложенные обновления.
Источник: HN