Разработчики Notepad++ внедрили механизм «двойной блокировки» (double-lock) в систему обновлений, чтобы окончательно устранить проблемы, которые ранее привели к компрометации цепочки поставок.

Напомним, что в начале февраля специалисты Rapid7 совместно с разработчиками Notepad++ раскрыли подробности атаки на инфраструктуру Notepad++. Как оказалось, с июня 2025 года китайская хак-группа Lotus Blossom использовала инфраструктуру обновлений редактора для распространения малвари. Для этого злоумышленники скомпрометировали хостинг-провайдера, обслуживавшего систему обновлений проекта, и выборочно перенаправляли запросы пользователей на вредоносные серверы.

Атаки продолжались вплоть до 2 декабря 2025 года, когда их наконец обнаружили. Анализ Rapid7 показал, что хакеры задействовали кастомный бэкдор Chrysalis.

Основная проблема заключалась в слабой верификации обновлений в старых версиях программы. В Notepad++ версии 8.9.2 этот механизм полностью переработали. Работа началась еще в версии 8.8.9, когда компонент WinGUp начал проверять сертификат и подпись загружаемого установщика. Кроме того, XML-ответ, который возвращает сервер обновлений, тоже начал подписываться (XMLDSig).

По словам разработчиков, сочетание двух механизмов верификации сделает процесс обновления «практически неэксплуатируемым».

Помимо этого, в автоапдейтер внесли ряд дополнительных изменений:

удалена библиотека libcurl.dll для исключения риска DLL side-loading.

убраны небезопасные параметры cURL SSL: CURLSSLOPT_ALLOW_BEAST и CURLSSLOPT_NO_REVOKE.

управление плагинами ограничено программами, подписанными тем же сертификатом, что и WinGUp.

Теперь всем пользователям Notepad++ рекомендуется обновиться до версии 8.9.2 и загружать установщики только с официального домена проекта: notepad-plus-plus.org.