Jak sponsorowani przez państwo hakerzy przejęli aktualizacje Notepad++: Dogłębna analiza ataku na łańcuch dostaw

Dawid Bakaj
Utworzone przez Dawid Bakaj • wtorek, 03.02.2026, 09:53 • Narzędzia cybersecurity


State-Sponsored Hackers Hijack Notepad++: Examining the Attack Vectors and Supply Chain Implications
Podsumowanie najważniejszych informacji:
  • Sponsorowani przez państwo hakerzy przejęli aktualizacje Notepad++ poprzez manipulację infrastrukturą hostingową.
  • Atak trwał od czerwca do końca listopada 2025 roku, kompromitując proces aktualizacji oprogramowania.
  • Napastnicy wykorzystali niebezpieczeństwa infrastruktury dostawcy hostingu oraz mechanizm aktualizacji WinGUP.
  • Wśród ofiar znalazły się organizacje z sektora telekomunikacyjnego i finansowego w Azji Wschodniej.
  • Atak ten podkreśla znaczenie bezpieczeństwa łańcucha dostaw oprogramowania i złożoność jego kompromitacji.
  • Podjęte działania naprawcze obejmują migrację strony internetowej oraz wzmocnienie mechanizmu aktualizacji.
  • Kevin Beaumont zalecił monitorowanie zasobów sieciowych i ograniczenie dostępu do podejrzanych procesów Notepad++.
  • Skoordynowana reakcja na incydent pokazuje, jak ważne jest szybkie działanie w obliczu zagrożenia cyberbezpieczeństwa.
  • VIPentest oferuje usługi, takie jak zaawansowane testy penetracyjne, aby zwiększyć odporność na ataki.

Jak sponsorowani przez państwo hakerzy przejęli aktualizacje Notepad++: Dogłębna analiza ataku na łańcuch dostaw

W świecie cyberbezpieczeństwa zaufanie jest walutą o najwyższej wartości. Ufamy naszym narzędziom, deweloperom i mechanizmom, które utrzymują nasze oprogramowanie w aktualności. Co jednak, gdy to właśnie zaufanie staje się wektorem ataku? Pytanie to stało się niezwykle aktualne po ujawnieniu informacji o tym, jak sponsorowani przez państwo hakerzy przejęli aktualizacje Notepad++, jednego z najpopularniejszych edytorów kodu na świecie. Przez blisko sześć miesięcy chińska grupa cyberszpiegowska, znana jako Violet Typhoon (APT31), prowadziła wysoce zaawansowaną i precyzyjnie ukierunkowaną operację, wykorzystując mechanizm aktualizacji oprogramowania jako bramę do sieci swoich ofiar.

Atak ten nie polegał na znalezieniu luki w kodzie samego Notepad++. Zamiast tego, napastnicy uderzyli w fundamenty, na których opiera się dystrybucja oprogramowania – infrastrukturę hostingową. Kompromitując dostawcę usług, zdołali przechwytywać i przekierowywać ruch aktualizacyjny, podsuwając wybranym celom złośliwe instalatory. Incydent ten stanowi podręcznikowy przykład ataku na łańcuch dostaw (supply chain attack) i jest poważnym ostrzeżeniem dla całej branży IT. W tym artykule dokonamy szczegółowej analizy przebiegu ataku, jego mechanizmów technicznych, implikacji dla bezpieczeństwa oraz kroków, jakie podjęto w celu zażegnania kryzysu.

Anatomia ataku: Oś czasu i wektor kompromitacji

Zrozumienie skali tego incydentu wymaga prześledzenia jego chronologii. Operacja rozpoczęła się w czerwcu 2025 roku i trwała nieprzerwanie aż do początku grudnia tego samego roku, co oznacza, że napastnicy działali w ukryciu przez około sześć miesięcy (źródło; źródło). Kluczowym elementem ataku nie była eksploatacja podatności w samym edytorze Notepad++, lecz uzyskanie dostępu na poziomie infrastruktury dostawcy hostingu, który obsługiwał oficjalną stronę projektu. Dzięki temu atakujący mogli manipulować ruchem sieciowym, zanim ten dotarł do serwerów aktualizacyjnych Notepad++.

Bezpośrednia kompromitacja serwera współdzielonego, na którym znajdowała się strona, trwała do 2 września 2025 roku. Tego dnia dostawca hostingu przeprowadził aktualizację jądra systemu (kernel) i oprogramowania układowego (firmware), co skutecznie odcięło napastnikom bezpośredni dostęp do serwera (źródło). Nie oznaczało to jednak końca operacji. Grupa Violet Typhoon zdołała wcześniej wykraść wewnętrzne poświadczenia usługowe, które umożliwiły im dalsze przekierowywanie ruchu aktualizacyjnego do złośliwych serwerów. Ten etap ataku trwał aż do 2 grudnia 2025 roku, kiedy to ostatecznie udało się zablokować wszelkie drogi dostępu dla atakujących.

Warto zauważyć, że istnieją pewne rozbieżności w ocenie dokładnej daty zakończenia ataku. Niezależna analiza przeprowadzona przez badaczy bezpieczeństwa wskazywała, że operacja zakończyła się 10 listopada 2025 roku. Z kolei dostawca hostingu poinformował, że potencjalny dostęp mógł istnieć aż do 2 grudnia, co podkreśla złożoność incydentu i trudności w precyzyjnym określeniu ram czasowych po stronie ofiary (źródło).

Mechanizmy techniczne – Jak napastnicy przejęli kontrolę

Sukces tej operacji opierał się na połączeniu trzech kluczowych elementów: kompromitacji serwera, przechwycenia ruchu sieciowego oraz wykorzystania słabości w samym mechanizmie aktualizacji.

  1. Kompromitacja infrastruktury hostingowej

    Punktem wyjścia dla całego ataku było włamanie na serwer hostingu współdzielonego, na którym działała oficjalna strona notepad-plus-plus.org. Dostawca usług hostingowych ujawnił później, że atakujący wykorzystali nieokreślone luki w zabezpieczeniach tej infrastruktury. Nawet po utracie bezpośredniego dostępu do serwera we wrześniu 2025 roku, skradzione wcześniej poświadczenia do wewnętrznych usług pozwoliły im kontynuować złośliwą działalność. To pokazuje, jak krytyczne jest bezpieczeństwo całego ekosystemu dostawcy, a nie tylko pojedynczych maszyn.

  2. Przechwytywanie ruchu aktualizacyjnego

    Głównym celem napastników był WinGUP, komponent odpowiedzialny za proces aktualizacji w Notepad++. Atakujący, pozycjonując się w łańcuchu dostawców usług internetowych (ISP), byli w stanie przechwytywać ruch sieciowy pomiędzy klientem aktualizatora a serwerami Notepad++. Umożliwiło im to przekierowanie zapytań na kontrolowane przez siebie serwery. Co istotne, przekierowanie to było wysoce selektywne i ukierunkowane. Oznacza to, że złośliwe instalatory nie były dystrybuowane masowo do wszystkich użytkowników. Zamiast tego, ruch był filtrowany, a na złośliwe domeny kierowano jedynie te zapytania, które pochodziły od wcześniej zidentyfikowanych, wartościowych celów (źródło). Taka precyzja działania jest charakterystyczna dla zaawansowanych grup APT (Advanced Persistent Threat) i pozwala im unikać wykrycia przez długi czas.

  3. Słabości mechanizmu aktualizacji

    Atakujący zidentyfikowali i bezwzględnie wykorzystali dwie krytyczne słabości w mechanizmie WinGUP:

    • Brak weryfikacji źródła pobierania: W wersjach Notepad++ starszych niż 8.8.8 (wydana w połowie listopada 2025 roku), kod aktualizatora nie był wystarczająco zabezpieczony, aby uniemożliwić atakującym zmianę adresu URL, z którego pobierany był instalator. Napastnicy celowali w endpoint https://notepad-plus-plus.org/getDownloadUrl.php, manipulując odpowiedzią serwera tak, by zwracała adres do ich spreparowanego pliku.
    • Brak walidacji integralności i autentyczności: W wersjach starszych niż 8.8.9, mechanizm WinGUP nie weryfikował poprawnie integralności ani autentyczności pobieranych plików aktualizacyjnych. Oznacza to, że brakowało sprawdzania podpisów cyfrowych lub sum kontrolnych, co pozwoliło atakującym na podmianę legalnego instalatora na złośliwy bez wzbudzania podejrzeń po stronie klienta (źródło).

    Połączenie tych czynników stworzyło idealne warunki do przeprowadzenia skutecznego ataku typu man-in-the-middle na proces aktualizacji.

Atrybucja i cele ataku – Kto i dlaczego?

Analiza techniczna oraz charakterystyka celów pozwoliły ekspertom z dużą dozą pewności przypisać atak grupie Violet Typhoon, znanej również jako APT31 lub Zirconium. Jest to grupa cyberszpiegowska powiązana z rządem Chin (źródło). Atrybucję tę wspiera zarówno wysoka selektywność celowania, jak i zaawansowanie techniczne wymagane do przeprowadzenia ataku na poziomie infrastruktury na tak dużą skalę.

Ofiarami operacji nie byli przypadkowi użytkownicy. Celem ataku były organizacje z sektora telekomunikacyjnego i usług finansowych w Azji Wschodniej. Po uzyskaniu wstępnego dostępu do sieci ofiar, atakujący prowadzili zaawansowane działania rozpoznawcze w trybie “hands-on keyboard”, co świadczy o manualnym sterowaniu operacją, a nie zautomatyzowanym rozprzestrzenianiu malware. Badacz bezpieczeństwa Kevin Beaumont zidentyfikował co najmniej trzy organizacje, w których incydenty bezpieczeństwa można było bezpośrednio powiązać z procesami Notepad++ jako wektorem początkowego dostępu. Selektywny charakter ataku jednoznacznie wskazuje, że ofiary zostały starannie wybrane, a celem była kradzież cennych danych lub długoterminowa infiltracja strategicznych sieci.

Implikacje dla łańcucha dostaw oprogramowania

Incydent z Notepad++ to znacznie więcej niż tylko kolejny atak hakerski. To dobitny przykład na rosnące zagrożenie dla globalnego łańcucha dostaw oprogramowania.

Skala potencjalnego zagrożenia

Chociaż faktyczna dystrybucja złośliwego oprogramowania była wąsko ukierunkowana, atak ten ujawnił znaczącą podatność w łańcuchu dostaw, która dotyczyła milionów użytkowników na całym świecie. Notepad++ jest narzędziem powszechnie używanym przez programistów, administratorów systemów i specjalistów IT w niezliczonych organizacjach. Kompromitacja tak fundamentalnego narzędzia stwarza ogromne ryzyko, ponieważ osoby te często posiadają podwyższone uprawnienia w sieciach korporacyjnych, co czyni je idealnym celem dla atakujących poszukujących wstępnego dostępu.

Wektor początkowego dostępu i dalsze działania

Skompromitowane instalacje Notepad++ posłużyły grupie Violet Typhoon jako wektor początkowego dostępu do docelowych sieci. Po zainfekowaniu systemu ofiary, atakujący prowadzili dalsze działania rozpoznawcze i podejmowali próby ruchu lateralnego (lateral movement) w celu eskalacji uprawnień i dotarcia do kluczowych zasobów. Ten przypadek doskonale ilustruje, jak legalne i zaufane mechanizmy aktualizacji mogą zostać przekształcone w broń w rękach zaawansowanych grup APT.

Odkrycie i reakcja społeczności

Cała sprawa wyszła na jaw na początku grudnia 2025 roku, kiedy wspomniany badacz bezpieczeństwa, Kevin Beaumont, publicznie poinformował o incydentach w organizacjach z Azji Wschodniej, w których kluczową rolę odgrywały procesy związane z Notepad++. Jego publiczne doniesienia stały się katalizatorem, który skłonił twórców oprogramowania i dostawcę hostingu do oficjalnego potwierdzenia incydentu i podjęcia natychmiastowych działań naprawczych.

Działania naprawcze i wzmocnienie bezpieczeństwa

Reakcja na incydent była wieloetapowa i objęła zarówno natychmiastowe działania zaradcze, jak i długofalowe wzmocnienie mechanizmów bezpieczeństwa.

Natychmiastowe działania:

  • Migracja strony internetowej: Oficjalna strona Notepad++ została przeniesiona do nowego dostawcy hostingu, który oferuje znacznie wyższy poziom zabezpieczeń.
  • Rotacja poświadczeń: Dostawca hostingu dokonał rotacji wszystkich poświadczeń, które mogły zostać skompromitowane podczas ataku.
  • Zabezpieczenie serwera: Podjęto kroki w celu załatania luk w zabezpieczeniach serwera współdzielonego, a dostawca potwierdził brak dowodów na dalszy dostęp atakujących po 2 grudnia 2025 roku.

Wzmocnienie mechanizmu aktualizacji (Hardening):

Zespół deweloperski Notepad++ wprowadził szereg kluczowych ulepszeń w komponencie WinGUP, aby zapobiec podobnym atakom w przyszłości:

  • Weryfikacja certyfikatu i podpisu: Aktualizator WinGUP teraz weryfikuje zarówno certyfikat, jak i podpis cyfrowy pobieranych instalatorów, co zapewnia ich autentyczność.
  • Podpisany plik z danymi aktualizacji: Plik XML zawierający adresy URL do pobrania aktualizacji jest teraz również kryptograficznie podpisany, co uniemożliwia jego modyfikację przez osoby trzecie.
  • Wymuszona walidacja: Pełne egzekwowanie weryfikacji certyfikatu i podpisu zostanie wprowadzone w wersji 8.9.2, której wydanie zaplanowano na około miesiąc po ujawnieniu incydentu (tj. w marcu 2026 roku).
  • Ograniczenie źródła pobierania: Już od wersji 8.8.8 pliki aktualizacyjne mogą być pobierane wyłącznie z oficjalnego repozytorium na GitHubie, co uniemożliwia przekierowanie na alternatywne, złośliwe źródła.

Praktyczne rekomendacje dla organizacji

Opierając się na analizie incydentu, Kevin Beaumont sformułował zestaw praktycznych zaleceń dla organizacji, które pomogą w wykrywaniu i zapobieganiu podobnym zagrożeniom:

Monitorowanie wskaźników kompromitacji (Indicators of Compromise):

  • Niespodziewane żądania sieciowe z procesu gup.exe do domen innych niż notepad-plus-plus.org, github.com oraz release-assets.githubusercontent.com.
  • Nietypowe procesy potomne uruchamiane przez instalator Notepad++.
  • Podejrzane pliki (np. update.exe lub AutoUpdater.exe) w folderze tymczasowym użytkownika (TEMP).
  • Regularna weryfikacja, czy zainstalowane wersje Notepad++ są legalne i pochodzą z oficjalnego źródła, a nie są złośliwym oprogramowaniem podszywającym się pod edytor.

Kontrole prewencyjne dla dużych przedsiębiorstw:

  • Blokowanie domeny notepad-plus-plus.org na poziomie firmowego firewalla lub proxy i wdrożenie scentralizowanego mechanizmu aktualizacji.
  • Ograniczenie dostępu do internetu dla procesu gup.exe, aby uniemożliwić automatyczne aktualizacje.
  • Blokowanie dostępu do internetu dla procesu notepad++.exe, chyba że wdrożono solidne mechanizmy monitorowania wtyczek i rozszerzeń firm trzecich.
  • Wdrożenie centralnego zarządzania pakietami (package management) do kontrolowanej dystrybucji i aktualizacji Notepad++ w środowisku korporacyjnym.

Główne wnioski – Czego uczy nas atak na Notepad++

Atak na Notepad++ jest doskonałym przykładem wyrafinowanej strategii kompromitacji łańcucha dostaw, w której napastnicy przedkładali dyskretne, selektywne celowanie nad masową dystrybucję złośliwego oprogramowania. Atakując infrastrukturę hostingową zamiast kodu aplikacji, grupa APT31 zdołała ominąć typowe procesy skanowania bezpieczeństwa i przeglądu kodu. Sześciomiesięczny okres, w którym atak pozostawał niewykryty, brutalnie obnaża trudności w identyfikacji kompromitacji na poziomie infrastruktury oraz podkreśla znaczenie solidnego monitoringu na styku dostawcy hostingu i ISP.

Incydent ten ujawnił również krytyczne słabości w legalnych mechanizmach aktualizacji oprogramowania, pokazując, jak łatwo można nadużyć zaufania między użytkownikami a dostawcami, gdy brakuje odpowiedniej weryfikacji kryptograficznej. Skoordynowana reakcja – obejmująca migrację strony, wzmocnienie mechanizmu aktualizacji i wdrożenie wymuszonej walidacji podpisów – stanowi modelową odpowiedź branży na rosnące zagrożenie atakami na łańcuch dostaw.

Potrzebujesz wsparcia w zabezpieczeniu łańcucha dostaw?

Atak na Notepad++ udowadnia, że nawet najbardziej zaufane narzędzia mogą stać się wektorem ataku, a bezpieczeństwo nie kończy się na granicach naszej własnej sieci. Zabezpieczenie organizacji wymaga holistycznego podejścia, które obejmuje również ocenę ryzyka związanego z dostawcami oprogramowania i usług.

W VIPentest specjalizujemy się w identyfikacji i mitygacji tego typu zagrożeń. Nasze usługi, takie jak zaawansowane testy penetracyjne, audyty bezpieczeństwa aplikacji czy symulacje ataków (red teaming), pomagają organizacjom zrozumieć, jak podatne są na zaawansowane ataki na łańcuch dostaw. Analizujemy nie tylko Twój kod, ale również procesy i zależności od stron trzecich, które mogą stanowić słabe ogniwo w Twoim systemie obronnym.

Jeśli chcesz zweryfikować odporność swojej organizacji na nowoczesne zagrożenia i proaktywnie zabezpieczyć swój cyfrowy łańcuch dostaw, skontaktuj się z nami. Nasz zespół ekspertów jest gotowy, aby pomóc Ci wzmocnić Twoje bezpieczeństwo.

Zapraszamy do rozmowy – Kontakt.

Checklista: Kluczowe kroki zabezpieczenia łańcucha dostaw

  • ☐ Przeprowadź audyt bezpieczeństwa infrastruktury hostingowej
  • ☐ Weryfikuj certyfikaty SSL/TLS dla wszystkich procesów aktualizacji
  • ☐ Monitoruj nietypowe żądania sieciowe aplikacji
  • ☐ Zastosuj kryptograficzne podpisy dla plików aktualizacyjnych
  • ☐ Śledź wskaźniki kompromitacji dla najnowszych zagrożeń
  • ☐ Prowadź cykliczne testy penetracyjne na oprogramowaniu
  • ☐ Ogranicz dostęp pracowników do krytycznych zasobów sieciowych
  • ☐ Wdrażaj centralne zarządzanie aktualizacjami w środowisku firmowym

FAQ

Jak doszło do ataku na Notepad++?

Atak został przeprowadzony przez chińską grupę Violet Typhoon (APT31) poprzez kompromitację infrastruktury hostingowej dostawcy. Napastnicy byli w stanie manipulować ruchem aktualizacyjnym Notepad++, używając skradzionych poświadczeń usługowych, aby przekierowywać na złośliwe serwery i dystrybuować złośliwy kod tylko do wybranych celów.

Jakie były bezpośrednie konsekwencje ataku dla łańcucha dostaw oprogramowania?

Incydent ujawnił istotne podatności w mechanizmach aktualizacji oprogramowania, które mogą być wykorzystywane do przejęcia kontroli nad sieciami docelowych organizacji. Atak podkreślił znaczenie zabezpieczenia nie tylko samego kodu, ale także infrastruktury i procesów związanych z dostarczaniem oprogramowania.

Jakie działania naprawcze podjęto po ataku?

Zespół Notepad++ przeniósł oficjalną stronę do nowego, bezpieczniejszego dostawcy hostingu, zaimplementował rotację poświadczeń oraz wzmocnił mechanizm aktualizacji WinGUP poprzez weryfikację certyfikatów i podpisów cyfrowych, włączając także wymuszoną autoryzację tych elementów w kolejnych wersjach oprogramowania.

Jak organizacje mogą się chronić przed podobnymi zagrożeniami?

Organizacje powinny monitorować wskaźniki kompromitacji oraz wdrożyć kontrole prewencyjne, takie jak blokowanie domen niepowiązanych bezpośrednio z zaufanymi źródłami Notepad++, ograniczenie dostępu do internetu dla procesu aktualizacji oraz stosowanie centralnego zarządzania aktualizacjami tego i innych oprogramowań w swojej sieci.

Dlaczego atak na Notepad++ był tak skuteczny?

Skuteczność ataku wynikała z wykorzystania zarówno słabości w mechanizmie aktualizacji WinGUP, jak i wyrafinowanych technik kompromitacji serwerów hostingowych. Potencjalna furtka dostępu do infrastruktury umożliwiała atakującym ukierunkowane przekierowanie ruchu aktualizacyjnego do określonych, wysokowartościowych celów, co utrudniało wykrycie i reakcję.

Gotowy zabezpieczyć swoją infrastrukturę?

Skontaktuj się z nami i otrzymaj bezpłatną konsultację. Nasi certyfikowani eksperci pomogą dobrać optymalny zakres testów penetracyjnych dla Twojej organizacji.

    *Wyrażam zgodę na przetwarzanie moich danych osobowych przez firmę VIPentest Sp. z o.o. Więcej informacji o tym, jak chronimy powierzone nam dane osobowe i na jakiej podstawie je przetwarzamy znajduje się w Polityce Prywatności oraz RODO

    Tagi

    aktualizacje oprogramowania APT31 bezpieczeństwo IT cyberzagrożenia hakerzy państwowi infiltracja łańcuch dostaw winGUP