A Notepad++ sokoldalúsága miatt nagy népszerűségnek örvend, rengetegen használják a különböző szektorokban, illetve átlagfelhasználói szinten is sokan szavaznak bizalmat a nyílt forráskódú szoftvernek. Úgy tűnik, az elmúlt év júniusában hackertámadás érte a Notepad++ automatikus frissítő szolgáltatását biztosító szervert, amelynek eredményeként a támadók szelektíven irányíthattak át egyes felhasználókat az általuk irányított szerverekre, ha az alkalmazást automatikusan frissíteni szerették volna a beépített algoritmuson keresztül.

A Notepad++ fejlesztői szerint a támadók minden jel szerint egy, a kínai állam által támogatott hackercsoport tagjai voltak, akik a szelektíven átirányított felhasználókat kártékony kóddal ellátott Notepad++ telepítővel szolgálták ki. A fejlesztő szerint a felhasználók átirányítása szelektíven történt és a támadás célzott volt, igaz, az egyelőre nem derült ki teljes bizonyossággal, pontosan mely szervezetek vagy vállalkozások felhasználói szerepeltek a támadók célkeresztjében. A Rapid 7 elemzése szerint a kínai Lotus Blossom csapat által megcélzott térségek között Közép-Amerika, illetve Délkelet-Ázsia foglalt helyet, ahol főként a telekommunikációs cégekre, a repülésben tevékenykedő vállalatokra, a média egyes képviselőire, illetve a kormányzati szereplőkre fókuszáltak a támadással.

A fejlesztők szerint a korábbi szolgáltató, amely a szoftverfrissítő funkciót biztosító szervert üzemeltette, a vizsgálatok alapján azt tapasztalta, hogy a támadók nem voltak kíváncsiak egyéb szolgáltatók tartalmaira, amelyek ugyanazon a megosztott szerveren foglaltak helyet, csak és kizárólag a Notepad++-hoz tartozó szoftverfrissítő szolgáltatást támadták meg. A hibás „getDownloadUrl.php” fájlhoz közvetlenül 2025. szeptember 2-ig férhettek hozzá a támadók, akkor ugyanis történt egy időzített firmware- és kernel-frissítés. Ekkor még nem veszítették el teljesen a hozzáférést, ugyanis a megszerzett bejelentkezési adatok birtokában 2025. december 2-ig továbbra is folytathatták a felhasználók szelektív és célzott átirányítását.

A támadás mögött egy 2009. óta aktív kínai kémcsoportról van szó, ami a Lotus Blossom név alatt fut, és amit már többször összefüggésbe hoztak kormányzati, telekommunikációs, média, illetve repülés terén tevékenykedő cégek elleni támadásokkal.

A Notepad++ fejlesztői az események hatására szigorúbb hitelesítési ellenőrzéseket vezettek be, amelyek mind a digitális aláírást, mind pedig a letöltött telepítők tanúsítványát ellenőrzik, ezáltal a letöltött frissítések már nem települnek, ha a telepítő kódja az ellenőrzések alapján manipuláción eshetett át.

Fontos: aki a Notepad++ alkalmazást közvetlenül a hivatalos szerverről töltötte le és manuálisan frissítette, nem kerülhetett a támadók célkeresztjébe, csak azok, akik az automatikus frissítési szolgáltatást használták. A szoftver javított változata már elérhető, innen lehet letölteni. Érdemes a javított verziót közvetlenül a linkelt szerverről letölteni, az automatikus frissítés funkció használata nélkül – biztos, ami biztos.