Разработчик популярного текстового редактора Notepad++ Дон Хо выпустил критическое обновление безопасности версии 8.9.2. Основной целью данного релиза стало устранение уязвимостей, которые использовались продвинутыми злоумышленниками для перехвата механизма обновлений и доставки вредоносного ПО. В новой версии внедрена архитектура, названная «двойной блокировкой» (double lock), призванная сделать процесс обновления «надежным и фактически неуязвимым для эксплуатации».
Выпуск обновления стал ответом на серию атак, приписываемых хакерской группировке Lotus Panda, связанной с Китаем. Согласно отчетам компаний Rapid7 и Kaspersky, злоумышленники использовали ранее неизвестный бэкдор под названием Chrysalis. Активная фаза атак началась в июне 2025 года, однако обнаружить вредоносную активность удалось только в начале декабря 2025 года, за несколько недель до релиза исправленной версии.
Инцидент в цепочке поставок был классифицирован под идентификатором CVE-2025-15556 с оценкой опасности 7.7 баллов по шкале CVSS. Атака стала возможной благодаря взлому хостинг-провайдера, что позволило хакерам перехватывать трафик обновлений. Злоумышленники перенаправляли запросы пользователей на подконтрольные им вредоносные серверы, распространяя таким образом зараженные версии программного обеспечения.
Для противодействия подобным угрозам в версии 8.9.2 реализована система «двойной блокировки». Первым уровнем защиты является проверка подписанного установщика, загружаемого с GitHub, что уже было частично реализовано в версии 8.8.9. Вторым, нововведенным уровнем, стала обязательная верификация подписанного XML-файла, возвращаемого сервером обновлений с официального домена notepad-plus-plus[.]org.
Существенным изменениям подвергся компонент автообновления WinGUp. Разработчики удалили библиотеку libcurl.dll, чтобы исключить риски, связанные с боковой загрузкой DLL (DLL side-loading). Кроме того, были ужесточены протоколы безопасности: удалены две небезопасные опции cURL SSL —
Помимо защиты от внешних атак, обновление устраняет уязвимость высокой степени тяжести CVE-2026-25926, получившую оценку 7.3 по шкале CVSS. Эта проблема классифицируется как «небезопасный путь поиска» (CWE-426) и проявляется при запуске Windows Explorer без указания абсолютного пути к исполняемому файлу. Данная уязвимость создавала риск выполнения произвольного кода, если злоумышленник, контролирующий рабочий каталог процесса, размещал там вредоносный файл
Пользователям настоятельно рекомендуется незамедлительно обновить программное обеспечение до версии Notepad++ 8.9.2. В связи с рисками подмены файлов и перехвата трафика, загрузку установщиков следует производить исключительно с официального домена разработчика, игнорируя сторонние ресурсы.
Изображение носит иллюстративный характер
Выпуск обновления стал ответом на серию атак, приписываемых хакерской группировке Lotus Panda, связанной с Китаем. Согласно отчетам компаний Rapid7 и Kaspersky, злоумышленники использовали ранее неизвестный бэкдор под названием Chrysalis. Активная фаза атак началась в июне 2025 года, однако обнаружить вредоносную активность удалось только в начале декабря 2025 года, за несколько недель до релиза исправленной версии.
Инцидент в цепочке поставок был классифицирован под идентификатором CVE-2025-15556 с оценкой опасности 7.7 баллов по шкале CVSS. Атака стала возможной благодаря взлому хостинг-провайдера, что позволило хакерам перехватывать трафик обновлений. Злоумышленники перенаправляли запросы пользователей на подконтрольные им вредоносные серверы, распространяя таким образом зараженные версии программного обеспечения.
Для противодействия подобным угрозам в версии 8.9.2 реализована система «двойной блокировки». Первым уровнем защиты является проверка подписанного установщика, загружаемого с GitHub, что уже было частично реализовано в версии 8.8.9. Вторым, нововведенным уровнем, стала обязательная верификация подписанного XML-файла, возвращаемого сервером обновлений с официального домена notepad-plus-plus[.]org.
Существенным изменениям подвергся компонент автообновления WinGUp. Разработчики удалили библиотеку libcurl.dll, чтобы исключить риски, связанные с боковой загрузкой DLL (DLL side-loading). Кроме того, были ужесточены протоколы безопасности: удалены две небезопасные опции cURL SSL —
CURLSSLOPT_ALLOW_BEAST и CURLSSLOPT_NO_REVOKE. Теперь выполнение управления плагинами ограничено только программами, подписанными тем же сертификатом, что и сам WinGUp. Помимо защиты от внешних атак, обновление устраняет уязвимость высокой степени тяжести CVE-2026-25926, получившую оценку 7.3 по шкале CVSS. Эта проблема классифицируется как «небезопасный путь поиска» (CWE-426) и проявляется при запуске Windows Explorer без указания абсолютного пути к исполняемому файлу. Данная уязвимость создавала риск выполнения произвольного кода, если злоумышленник, контролирующий рабочий каталог процесса, размещал там вредоносный файл
explorer.exe. Пользователям настоятельно рекомендуется незамедлительно обновить программное обеспечение до версии Notepad++ 8.9.2. В связи с рисками подмены файлов и перехвата трафика, загрузку установщиков следует производить исключительно с официального домена разработчика, игнорируя сторонние ресурсы.
