Người duy trì Notepad++ đã tiết lộ rằng những kẻ tấn công được nhà nước bảo trợ đã chiếm quyền cơ chế cập nhật của tiện ích này để chuyển hướng lưu lượng cập nhật đến các máy chủ độc hại.
"Cuộc tấn công liên quan đến sự xâm phạm cấp độ hạ tầng, cho phép các tác nhân độc hại chặn và chuyển hướng lưu lượng cập nhật đến notepad-plus-plus.org," nhà phát triển Don Ho cho biết. "Sự xâm phạm xảy ra ở cấp độ nhà cung cấp dịch vụ hosting chứ không phải thông qua các lỗ hổng trong chính mã nguồn của Notepad++."
Ho cũng cho biết thêm rằng cơ chế chính xác dẫn đến sự việc này hiện đang được điều tra.
Diễn biến này diễn ra chỉ hơn một tháng sau khi Notepad++ phát hành phiên bản 8.8.9 để khắc phục một sự cố khiến lưu lượng từ WinGUp, trình cập nhật của Notepad++, "thỉnh thoảng" bị chuyển hướng đến các tên miền độc hại, dẫn đến việc tải xuống các tệp thực thi bị nhiễm độc.
Cụ thể, vấn đề xuất phát từ cách trình cập nhật xác minh tính toàn vẹn và xác thực của tệp cập nhật đã tải xuống, cho phép kẻ tấn công có thể chặn lưu lượng mạng giữa client của trình cập nhật và máy chủ cập nhật để lừa công cụ tải xuống một tệp nhị phân khác.
Người ta tin rằng việc chuyển hướng này được nhắm mục tiêu cao, với lưu lượng truy cập chỉ từ một số người dùng nhất định được chuyển đến các máy chủ giả mạo và tải về các thành phần độc hại. Sự cố được đánh giá là đã bắt đầu vào tháng 6 năm 2025, hơn sáu tháng trước khi nó được phát hiện.
Nhà nghiên cứu bảo mật độc lập Kevin Beaumont tiết lộ rằng lỗ hổng này đang bị các threat actors ở Trung Quốc khai thác để chiếm quyền kiểm soát mạng và lừa các mục tiêu tải xuống malware. Để đối phó với sự cố bảo mật này, trang web của Notepad++ đã được chuyển sang một nhà cung cấp hosting mới.
"Theo nhà cung cấp dịch vụ hosting trước đây, máy chủ shared hosting đã bị xâm phạm cho đến ngày 2 tháng 9 năm 2025," Ho giải thích. "Ngay cả sau khi mất quyền truy cập máy chủ, những kẻ tấn công vẫn duy trì được thông tin đăng nhập vào các dịch vụ nội bộ cho đến ngày 2 tháng 12 năm 2025, điều này cho phép chúng tiếp tục chuyển hướng lưu lượng cập nhật của Notepad++ đến các máy chủ độc hại."
