Взлом проекта Notepad++, новые детали: эксперты Kaspersky GReAT обнаружили две ранее неизвестные цепочки заражения

C июля по сентябрь инфраструктура атакующих была совсем другой

Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз "Лаборатории Касперского") изучили кибератаку на цепочку поставок через компрометацию популярного у разработчиков редактора Notepad++. Атака длилась с июля по декабрь 2025 года и включала как минимум три различные цепочки заражения. Две из них оставались неизвестными до сих пор. Единственная публично задокументированная ранее цепочка заражения представляет собой лишь заключительную фазу гораздо более сложной и продолжительной кампании.

До вчерашнего дня в публичных сообщениях об этих атаках речь шла исключительно о вредоносном ПО, обнаруженном в октябре 2025 года. Организации, где применялся редактор, могли не знать о других индикаторах компрометации (IoC), использовавшихся с июля по сентябрь, и, следовательно, пропустить более ранние признаки заражения. В атаке на Notepad++ злоумышленники каждый месяц полностью переписывали всю цепочку заражения, меняя вредоносные IP-адреса, домены и вредоносные нагрузки, чтобы оставаться незамеченными.

В числе мишеней, по данным телеметрии "Лаборатории Касперского", — поставщики ИТ-услуг, госучреждения и финансовые организации в Австралии, Латинской Америке и Юго-Восточной Азии. Решения компании блокировали попытки атак.

"Тем, кто уже проверил свои системы по известным IoC и ничего не нашёл, не стоит думать, что угрозы нет. Мы обнаружили, что с июля по сентябрь инфраструктура атакующих была совсем другой: использовались другие IP-адреса, домены и хеши файлов. Поскольку злоумышленники часто меняли инструменты, нельзя исключать, что существуют и иные цепочки заражения, которые пока ещё не выявлены", — комментирует Георгий Кучерин, эксперт Kaspersky GReAT.

Защитные решения "Лаборатории Касперского", такие как Kaspersky Symphony, успешно выявляют используемое злоумышленниками вредоносное ПО.

С полным на сегодняшний день списком индикаторов компрометации (IoC), который включает шесть вредоносных хешей обновлений, 14 URL-адресов C2 и восемь вредоносных хешей файлов, о которых ранее не сообщалось, можно ознакомиться на Securelist.com.