CSIRTFEI
EN

Poznámky si rob bezpečne!

Poznámkový editor Notepad++ je medzi užívateľmi veľmi populárny a mnohý z nás ho zrejme tiež využívajú. Začiatkom februára 2026 však vyšlo najavo, že bol v roku 2025 súčasťou cieleného supply-chain útoku. Nešlo o klasickú softvérovú zraniteľnosť (CVE), ale o kompromitáciu infraštruktúry používanej na distribúciu aktualizácií. Útočníci dokázali kompromitovať časť infraštruktúry a to im umožnilo v určitých situáciách presmerovať aktualizačné (update) požiadavky na vlastné servery. Namiesto aplikácie Notepad++ ste si nedopatrením stiahli škodlivý kód. Útok bol vysoko selektívny - hackeri sa zamerali na konkrétne ciele z radov vládnych inštitúcií, telekomunikácií a kritickej infraštruktúry. Informácie postupne publikovali viaceré nezávislé zdroje vrátane Reuters, Rapid7, TechCrunch a The Register.

Čo sa presne stalo

Podľa vyjadrenia hlavného vývojára projektu Don Ho útočníci získali prístup k serveru, ktorý slúžil na doručovanie aktualizácií Notepad++. To im umožnilo manipulovať aktualizačný proces a selektívne doručovať škodlivé aktualizácie iba vybraným cieľom, nie celej používateľskej základni.

  • Útok mal prebiehať približne od júna 2025
  • Prístup k update serveru bol odstránený 2. septembra 2025
  • Niektoré kompromitované prihlasovacie údaje mohli byť aktívne až do 2. decembra 2025

Dôležitým faktom je, že nie všetci používatelia boli zasiahnutí. Distribúcia malvéru bola úmyselne selektívna, čo výrazne komplikuje detekciu aj spätnú analýzu rozsahu útoku. To ale znamená, že väčšina bežných používateľov sa s malvérom nikdy nestretla, aj keď používala Notepad++ v danom období [1].

Podľa technickej analýzy spoločnosti Rapid7 škodlivé aktualizácie obsahovali custom backdoor, ktorý útočníkom umožňoval [2]:

  • vzdialenú interaktívnu kontrolu nad systémom,
  • krádež dát,
  • laterálny pohyb v rámci siete obete,
  • vytvorenie perzistentného prístupu.

Koho sa útok pravdepodobne týkal?

Presný počet obetí nie je známy. Podľa nezávislých výskumníkov (vrátane Kevina Beaumonta [3]) išlo o organizácie so strategickými alebo geopolitickými záujmami, najmä v oblasti východnej Ázie.

Incident sleduje aj CISA(Cybersecurity and Infrastructure Security Agency), ktorá potvrdila, že analyzuje možné dopady v prostredí vlády USA[1].

Tento prípad jasne ukazuje, že:

  • supply-chain útoky patria medzi najnebezpečnejšie typy kybernetických hrozieb,
  • kompromitácia distribučného kanála dokáže obísť dôveru v legitímny softvér,
  • open-source projekty sú rovnako atraktívnym cieľom ako komerčný softvér.

Nešlo o chybu používateľov ani o klasický exploit, ale o zneužitie dôvery v aktualizačný mechanizmus.

Reakcia a nápravné opatrenia

Technický rozbor Rapid7 [2] poskytuje kontext kampane a aj indikátory kompromitácie pre SOC/IR tímy. Projekt Notepad++ po odhalení incidentu:

  • zmenil infraštruktúru pre aktualizácie,
  • posilnil bezpečnostné kontroly aktualizačného procesu,
  • vydal verziu 8.9.1, ktorá obsahuje dodatočné ochranné mechanizmy.

Keďže Notepad++ evidoval June 30, 2025 aj inú vysoko závažnú zraniteľnosť v jeho inštalátore (CVE-2025-49144) ktorú je možné lokálne zneužiť na eskaláciu privilégií a vykonanie kódu s oprávneniami úrovne SYSTEM [5], používateľom aj organizáciám sa odporúča prejsť na najnovšiu verziu a v citlivých prostrediach zvážiť vypnutie automatických aktualizácií a centralizovanú distribúciu softvéru.

Postup pre individuálnych užívateľov [6]:

  1. Stiahnite si a nainštalujte inštalátor Notepad++ v8.9.1 z oficiálnej webovej stránky. Počas inštalácie máte možnosť vypnúť automatický aktualizačný mechanizmus (auto-updater), ak si to želáte.
  2. Najnovšia verzia obsahuje vylepšené bezpečnostné opatrenia, ktoré zabraňujú tomuto typu útoku.
  3. Nie je dôvod na paniku – ak ste neboli strategickým cieľom, je veľmi pravdepodobné, že ste nikdy neboli ohrození.
  4. Ako vždy, dodržiavajte správnu hygienu hesiel a osvedčené bezpečnostné postupy.

Postup pre podnikové IT oddelenia:

  1. Skontrolujte IoC (Indicators of Compromise) poskytnuté naším bývalým hostingovým poskytovateľom, spoločnosťami Rapid7 a Kaspersky.

  2. Verziu v8.9.1 môžete nasadiť aj prostredníctvom MSI balíka úplne bez automatického aktualizačného mechanizmu:

    msiexec /i npp.8.9.1.Installer.x64.msi NOUPDATER=1

Incident s Notepad++ nie je masovým bezpečnostným zlyhaním, ale ukážkou precízne cieleného špionážneho útoku. Väčšina bežných používateľov pravdepodobne nebola nikdy ohrozená, no ide o ďalšie silné pripomenutie, že dôvera v dodávateľský reťazec musí byť neustále overovaná.

Literatúra

  1. Reuters – Popular open-source coding application targeted in Chinese-linked supply-chain attack https://www.reuters.com/technology/popular-open-source-coding-application-targeted-chinese-linked-supply-chain-2026-02-02/
  2. Rapid7 – Dive into Lotus Blossom’s toolkit / Chrysalis backdoor https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
  3. BEAUMONT, Kevin. Small numbers of Notepad++ users reporting security woes. DoublePulsar, 2 December 2025. Dostupné na: https://doublepulsar.com/small-numbers-of-notepad-users-reporting-security-woes-371d7a3fd2d9
  4. Help Net Security – How state-sponsored attackers hijacked Notepad++ updates https://www.helpnetsecurity.com/2026/02/02/2025-notepad-supply-chain-compromise/
  5. https://www.csirt.sk/posts/2488.html
  6. https://notepad-plus-plus.org/news/clarification-security-incident/

Ďalšie zdroje
https://notepad-plus-plus.org/news/hijacked-incident-info-update/
https://www.wired.cz/news-beat/cinsti-hackeri-utocili-skrze-notepad-na-statni-instituce-v-usa
https://touchit.sk/notepad-bol-zneuzity-hackermi-chyba-je-uz-napravena/844483/
https://orca.security/resources/blog/notepad-plus-plus-supply-chain-attack/
https://www.theregister.com/2026/02/02/notepad_plusplus_intrusion/

Ilkovičova 3, 841 04 Bratislava - Karlova Ves

csirt.fei@stuba.sk

© 2026 CSIRT FEI