Duty-Free.cc
Новости

Notepad++ усилил защиту: разработчики закрыли уязвимости, которыми воспользовались атакующие, и серьёзно переработали механизм обновлений.

Duty News 0 2 часа назад

Команда проекта выпустила версию 8.9.2 популярного редактора Notepad++ после выявления атаки на цепочку поставок. По данным разработчиков, злоумышленники смогли вмешаться в процесс обновления и точечно перенаправлять часть пользователей на вредоносные серверы, где распространялись модифицированные файлы.

Основатель проекта Don Ho сообщил, что в новой версии реализован принцип «двойной проверки». Если начиная с релиза 8.8.9 приложение уже сверяло цифровую подпись установщика, загруженного с GitHub, то в 8.9.2 добавлена дополнительная валидация — теперь проверяется и подпись XML-файла, который возвращает сервер обновлений на официальном сайте проекта. Это усложняет попытки подмены данных на промежуточном этапе.

Серьёзные изменения коснулись и компонента автообновления WinGUp. Из него удалили библиотеку libcurl.dll, чтобы минимизировать риск загрузки поддельных DLL-файлов. Также разработчики отказались от двух небезопасных SSL-настроек в cURL и ограничили операции управления плагинами: теперь их могут выполнять только приложения, подписанные тем же сертификатом, что и WinGUp.

Помимо этого, устранена уязвимость CVE-2026-25926 с рейтингом 7,3 по шкале CVSS. Проблема заключалась в небезопасном поиске исполняемого файла при запуске Windows Explorer без указания абсолютного пути. В определённых условиях атакующий, контролирующий рабочую директорию процесса, мог добиться запуска поддельного explorer.exe и выполнить произвольный код в контексте программы.

Ранее специалисты из Rapid7 и Лаборатория Касперского связывали инцидент с распространением неизвестного ранее бэкдора Chrysalis. Атаку на цепочку поставок отслеживают под идентификатором CVE-2025-15556 (CVSS 7.7), а возможную атрибуцию приписывают группе Lotus Panda.

По информации проекта, компрометация на стороне хостинг-провайдера позволяла перехватывать обновления с июня 2025 года. Обнаружить проблему удалось лишь в декабре.

Разработчики рекомендуют всем пользователям перейти на версию 8.9.2 и загружать дистрибутивы исключительно с официального сайта, чтобы исключить риск получения модифицированных файлов.