Lo sviluppatore di Notepad++ Don Ho ha confermato che gli hacker hanno violato il meccanismo di aggiornamento del software per diversi mesi nel 2025. L’attacco è avvenuto tra giugno e dicembre 2025 e Ho lo ha attribuito ad hacker associati al governo cinese. Ha citato analisi di esperti di sicurezza che hanno esaminato i payload del malware e i modelli di attacco, sottolineando che ciò spiega il targeting altamente selettivo durante la campagna.
Rapid7 ha indagato sull’incidente e ha identificato gli autori della minaccia come Lotus Blossom, un gruppo di spionaggio di lunga data legato alla Cina. Il gruppo prende di mira i settori del governo, delle telecomunicazioni, dell’aviazione, delle infrastrutture critiche e dei media. Notepad++ è un popolare editor di testo open source con più di due decenni di storia e decine di milioni di download in tutto il mondo, anche da parte dei dipendenti di organizzazioni a livello globale.
Il ricercatore di sicurezza Kevin Beaumont ha scoperto per primo l’attacco informatico nel dicembre 2025. Ha riferito che gli hacker hanno compromesso un piccolo numero di organizzazioni con interessi nell’Asia orientale dopo che gli utenti avevano installato una versione contaminata del software. Beaumont ha affermato che gli aggressori hanno ottenuto l’accesso “pratico” ai computer delle vittime che eseguono gli aggiornamenti dirottati di Notepad++.
Ho dettagliato il meccanismo di attacco in un post sul blog pubblicato lunedì. Il sito Web di Notepad++ era ospitato su un server condiviso. Gli aggressori hanno preso di mira specificamente il dominio web, sfruttando un bug del software per reindirizzare alcuni utenti su un server dannoso controllato dagli hacker. Ciò ha consentito la consegna di aggiornamenti dannosi agli utenti che richiedevano aggiornamenti software. Il reindirizzamento è continuato fino a quando Ho non ha risolto il bug nel novembre 2025, interrompendo l’accesso degli hacker all’inizio di dicembre 2025.
Ho condiviso i registri che mostrano che gli aggressori hanno tentato di sfruttare nuovamente la vulnerabilità risolta, ma gli sforzi sono falliti dopo la patch. In un’e-mail a TechCrunch, Ho ha affermato che il suo provider di hosting ha confermato che il server condiviso era compromesso ma non ha rivelato come si è verificata la violazione iniziale.
Ho si è scusato per l’incidente e ha invitato gli utenti a scaricare l’ultima versione di Notepad++, che include la correzione del bug.
L’attacco informatico Notepad++ ricorda la violazione SolarWinds del 2019-2020. Le spie del governo russo hanno violato i server di SolarWinds e hanno inserito una backdoor negli aggiornamenti software per gli strumenti IT e di gestione della rete utilizzati dalle organizzazioni Fortune 500, compresi i dipartimenti governativi degli Stati Uniti. Il compromesso ha interessato agenzie come la Sicurezza Nazionale e i Dipartimenti del Commercio, dell’Energia, della Giustizia e dello Stato. Una volta che i clienti installavano gli aggiornamenti contaminati, la backdoor consentiva alle spie russe di accedere alle reti.
