Разработчики Notepad++ внедрили механизм «двойной блокировки» (double-lock) в систему обновлений, чтобы окончательно устранить проблемы, которые ранее привели к компрометации цепочки поставок.
Напомним, что в начале февраля специалисты Rapid7 совместно с разработчиками Notepad++ раскрыли подробности атаки на инфраструктуру Notepad++. Как оказалось, с июня 2025 года китайская хак-группа Lotus Blossom использовала инфраструктуру обновлений редактора для распространения малвари. Для этого злоумышленники скомпрометировали хостинг-провайдера, обслуживавшего систему обновлений проекта, и выборочно перенаправляли запросы пользователей на вредоносные серверы.
Атаки продолжались вплоть до 2 декабря 2025 года, когда их наконец обнаружили. Анализ Rapid7 показал, что хакеры задействовали кастомный бэкдор Chrysalis.
Основная проблема заключалась в слабой верификации обновлений в старых версиях программы. В Notepad++ версии 8.9.2 этот механизм полностью переработали. Работа началась еще в версии 8.8.9, когда компонент WinGUp начал проверять сертификат и подпись загружаемого установщика. Кроме того, XML-ответ, который возвращает сервер обновлений, тоже начал подписываться (XMLDSig).
По словам разработчиков, сочетание двух механизмов верификации сделает процесс обновления «практически неэксплуатируемым».
Помимо этого, в автоапдейтер внесли ряд дополнительных изменений:
- удалена библиотека libcurl.dll для исключения риска DLL side-loading.
- убраны небезопасные параметры cURL SSL: CURLSSLOPT_ALLOW_BEAST и CURLSSLOPT_NO_REVOKE.
- управление плагинами ограничено программами, подписанными тем же сертификатом, что и WinGUp.
Теперь всем пользователям Notepad++ рекомендуется обновиться до версии 8.9.2 и загружать установщики только с официального домена проекта: notepad-plus-plus.org.
