A Notepad++ további részleteket osztott meg arról az ellátásilánc támadásról, amely 2025 decemberében került nyilvánosságra. A projekt tájékoztatása szerint nagy valószínűséggel egy kínai, államilag támogatott APT csoport célzott támadást hajtott végre egyes felhasználók ellen egy tárhelyszolgáltató infrastruktúráján keresztül.
Az incidens híre azt követően látott napvilágot, hogy a Notepad++ olyan frissítéseket adott ki, amelyek célja a nyílt forráskódú szövegszerkesztő frissítési mechanizmusának eltérítés-elleni védelme volt.
Kevin Beaumont kiberbiztonsági kutató december elején arról számolt be, hogy néhány Notepad++-t használó szervezetet rosszindulatú kódot tartalmazó frissítésekkel támadtak meg. Állítása szerint a Notepad++ infrastruktúráját Kínához köthető hackercsoportok használták ki a kezdeti hozzáférés megszerzésére, főként kelet-ázsiai távközlési vállalatok és pénzügyi szolgáltatók rendszereihez.
A Notepad++ megalkotója és karbantartója, Don Ho most nyilvánosságra hozta egy külső biztonsági szakértőkkel és az érintett megosztott tárhelyszolgáltatóval közösen lefolytatott vizsgálat eredményeit. Az elemzés szerint a támadás során infrastruktúra szinten történt kompromittáció, ami lehetővé tette a támadók számára, hogy elfogják a notepad-plus-plus[.]org felé irányuló frissítési adatforgalmat és azt a saját irányításuk alatt álló rendszerek felé tereljék. A pontos technikai mechanizmus továbbra is vizsgálat alatt áll, azonban a kompromittáció a tárhelyszolgáltató szintjén történt, nem pedig a Notepad++ kódjában lévő sérülékenységek kihasználásával. Egyes, célzottan kiválasztott felhasználók adatforgalmát szelektíven a támadók által üzemeltetett szerverekre irányították át, ahonnan rosszindulatú frissítést töltöttek le. „Több független biztonsági kutató is arra a következtetésre jutott, hogy a támadó nagy valószínűséggel egy kínai állam által támogatott csoport lehetett, ami magyarázatot ad a kampány során megfigyelt rendkívül szelektív célzásra” – jegyezte meg Ho.
A tárhelyszolgáltató vizsgálata során gyűjtött információk szerint a támadók kifejezetten a Notepad++-t vették célba annak érdekében, hogy elfogják a felhasználók adatforgalmát. A szolgáltató nem talált bizonyítékot arra, hogy ugyanazon a megosztott szerveren más ügyfeleket is ért volna támadás.
A támadás feltehetően 2025 júniusában indult, és a tárhelyszolgáltató megállapítása szerint az érintett szerver egészen szeptember 2-ig kompromittált állapotban volt, amikor is egy ütemezett karbantartás során frissítették a rendszermagot és a firmware-t.
Ennek ellenére a szeptember előtt megszerzett hitelesítő adatok lehetővé tették a támadók számára, hogy december 2-ig fenntartsák hozzáférésüket a tárhelyszolgáltató belső szolgáltatásaihoz. Ebben az időszakban a kiberbűnözők képesek voltak a Notepad++ frissítőszervereire irányuló forgalmat a saját szervereikre átirányítani, és azon keresztül kártékony szoftvert terjeszteni.
A Notepad++ az incidens óta új tárhelyszolgáltatóhoz migrált, és kliensoldali módosításokat vezetett be a frissítések integritásának ellenőrzése érdekében.