توسعه‌دهنده Notepad++ گزارش نهایی و مفصلی درباره حادثه امنیتی که منجر به ربودن (Hijacking) ترافیک به‌روزرسانی این نرم‌افزار شده بود، منتشر کرده است. این حادثه که از ژوئن ۲۰۲۵ آغاز شده بود، شامل هدف‌گیری دقیق کاربران توسط یک گروه هکری (احتمالاً تحت حمایت دولت چین) بوده است.

جزئیات حادثه و نحوه نفوذ

طبق تحلیل کارشناسان امنیتی و همکاری با ارائه‌دهنده میزبانی سابق Notepad++، مشخص شد که نفوذ نه در کد نرم‌افزار، بلکه در سطح زیرساخت‌های سرویس‌دهنده میزبانی رخ داده است:

• نفوذ به سرور اشتراکی: مهاجمان موفق شده بودند به سرور میزبانی وب‌سایت نفوذ کنند و ترافیک مربوط به درخواست‌های به‌روزرسانی (getDownloadUrl.php) را رهگیری و به سرورهای تحت کنترل خود هدایت کنند.

• تزریق فایل‌های آلوده: کاربران هدف‌گیری شده به جای دریافت نسخه اصلی، آدرس دانلود نسخه‌های دستکاری شده و مخرب را دریافت می‌کردند.

• بازه زمانی آلودگی: نفوذ از ژوئن ۲۰۲۵ آغاز شد. اگرچه دسترسی هکرها به هسته سرور در سپتامبر ۲۰۲۵ (به دلیل آپدیت کرنل) قطع شد، اما آن‌ها به دلیل داشتن اعتبارنامه‌های داخلی، تا ۲ دسامبر ۲۰۲۵ همچنان قادر به هدایت ترافیک بودند.

اقدامات انجام شده برای حل مشکل

برای رفع کامل این بحران امنیتی، اقدامات زیر صورت گرفته است:

1. تغییر هاستینگ: وب‌سایت Notepad++ به یک ارائه‌دهنده جدید با استانداردهای امنیتی بسیار بالاتر منتقل شده است.

2. ارتقای امنیت آپدیتور (WinGup): در نسخه v8.8.9، قابلیت بررسی گواهینامه (Certificate) و امضای دیجیتال فایل نصبی اضافه شد.

3. امضای دیجیتال XML: از این پس فایل‌های XML که سرور آپدیت برمی‌گرداند نیز دارای امضای دیجیتال (XMLDSig) هستند. این پروتکل سخت‌گیرانه در نسخه v8.9.2 به طور کامل اجباری خواهد شد.

4. پاکسازی زیرساخت: تمامی رمزهای عبور SSH، FTP و دیتابیس در سمت سرور تغییر یافته و حساب‌های کاربری غیرضروری حذف شده‌اند.

توصیه مهم به کاربران

مدیر پروژه Notepad++ ضمن عذرخواهی از کاربران، توصیه کرده است که:

• اگر در بازه زمانی ژوئن تا دسامبر ۲۰۲۵ نرم‌افزار خود را از طریق آپدیتور داخلی به‌روزرسانی کرده‌اید، احتمال آلودگی وجود دارد.

• اکیداً توصیه می‌شود نسخه v8.9.1 (یا جدیدتر) را به صورت دستی از وب‌سایت رسمی دانلود و مجدداً نصب کنید تا از سلامت فایل‌ها اطمینان حاصل شود.