Популярният отворен текстов и програмен редактор Notepad++ внедри нов, значително по-сигурен механизъм за обновяване, наречен „двойно заключване“, с цел да отстрани сериозни пропуски в сигурността, довели по-рано до компрометиране на веригата за доставки.

Новият подход е официално въведен с версия 8.9.2, обявена вчера, като подготовката за него е започнала още във версия 8.8.9, чрез внедряване на проверка на подписания инсталатор, изтеглян от GitHub.

Как работи „двойното заключване“

Механизмът се базира на две независими проверки, които трябва едновременно да са валидни, за да бъде прието едно обновяване като легитимно:

1. Проверка на цифровия подпис на инсталатора, публикуван в GitHub

2. Проверка на цифрово подписан XML файл, получаван от официалния домейн notepad-plus-plus.org, използващ стандарт XMLDSig

На практика това означава, че дори една от двете проверки да бъде компрометирана, зловреден ъпдейт няма как да бъде инсталиран, без да бъде засечен. Според екипа на Notepad++ комбинацията прави процеса на обновяване практически неизползваем за атаки.

Допълнителни подобрения в сигурността

Освен двойния механизъм за верификация, в автоматичния ъпдейтър са въведени и други целенасочени защитни мерки:

• Премахване на libcurl.dll, с цел елиминиране на риска от DLL side-loading

• Премахване на небезопасните SSL опции на cURL:

  • CURLSSLOPT_ALLOW_BEAST

  • CURLSSLOPT_NO_REVOKE

• Ограничаване на управлението на плъгини само до програми, подписани със същия сертификат като WinGUp

Потребителите вече могат и изцяло да изключат автоматичния ъпдейтър по време на графичната инсталация или при разгръщане чрез MSI пакет с командата:

msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1

Контекст – шестмесечна атака по веригата за доставки

В началото на месеца Notepad++ и изследователи от Rapid7 разкриха, че инфраструктурата за обновяване е била компрометирана в рамките на шестмесечна кампания, приписвана на Lotus Blossom, свързвана с Китай.

От юни 2025 г. атакуващите са компрометирали хостинг доставчика, който обслужва ъпдейт инфраструктурата на Notepad++, и селективно са пренасочвали заявки за обновяване от конкретни потребители към зловредни сървъри.

Атаките са се възползвали от слаби механизми за верификация в по-старите версии на софтуера и са продължили до 2 декември 2025 г., когато са били открити. Анализът на Rapid7 показва, че в атаката е използван персонализиран бекдор с името Chrysalis.

Реакция и препоръки към потребителите

Освен внедряването на новите защитни механизми, екипът на проекта е предприел и незабавни организационни мерки:

• Смяна на хостинг доставчика

• Ротация на компрометираните идентификационни данни

• Отстраняване на уязвимостите, използвани в атаките

Категоричната препоръка към всички потребители е да обновят Notepad++ до версия 8.9.2 и да изтеглят инсталаторите единствено от официалния сайт – notepad-plus-plus.org.