В Notepad++ реализован механизм обновления с «двойной блокировкой», призванный устранить недавно обнаруженные уязвимости в системе безопасности, которые привели к компрометации цепочки поставок.
Новый механизм появился в Notepad++ версии 8.9.2, о которой было объявлено вчера, хотя работа над ним началась в версии 8.8.9 с внедрения функции проверки подписанного установщика с GitHub.
Вторая часть системы двойной блокировки — проверка подписанного XML-файла из домена notepad-plus-plus.org. На практике это означает, что XML-файл, возвращаемый службой обновления, имеет цифровую подпись (XMLDSig).
Сочетание этих двух механизмов проверки обеспечивает более надежный и «практически неуязвимый» процесс обновления, утверждает команда разработчиков популярного редактора текста и исходного кода с открытым исходным кодом.
Дополнительные изменения, направленные на повышение безопасности, внесенные в автоматическое обновление:
- Удаление libcurl.dll для устранения риска боковой загрузки DLL
- Удаление двух незащищенных параметров SSL cURL: CURLSSLOPT_ALLOW_BEAST и CURLSSLOPT_NO_REVOKE
- Ограничение на выполнение плагинов программами, подписанными тем же сертификатом, что и WinGUp
В новом объявлении также отмечается, что пользователи могут отключить автоматическое обновление при установке пользовательского интерфейса или развернуть пакет MSI с помощью: msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1
Уязвимая модель обновления (слева) и новая, безопасная модель (справа)
Источник: Notepad++
Ранее в этом месяце исследователи из Notepad++ и Rapid7 сообщили, что инфраструктура обновлений была взломана в ходе шестимесячной кампании, которую провела группировка Lotus Blossom, связанная с Китаем.
Начиная с июня 2025 года злоумышленник взломал хостинг-провайдера, на котором работало средство обновления Notepad++, и выборочно перенаправлял запросы на обновление от определенных пользователей на вредоносные серверы.
Атаки были направлены на уязвимые средства проверки обновлений, использовавшиеся в старых версиях программного обеспечения, и продолжались до тех пор, пока их не обнаружили 2 декабря 2025 года.
Анализ Rapid7 показал, что китайские хакеры использовали в рамках цепочки атак собственный бэкдор под названием Chrysalis.
Помимо новых мер безопасности, проект немедленно перешел на другого хостинг-провайдера, сменил учетные данные и устранил уязвимости, которые использовались в ходе обнаруженных атак.
Всем пользователям Notepad++ рекомендуется обновиться до версии 8.9.2 и всегда загружать установщики с официального сайта notepad-plus-plus.org.