Notepad++, uno degli editor di testo e codice più diffusi al mondo, è stato coinvolto in un grave incidente di sicurezza che ha colpito il suo sistema di aggiornamento automatico. Secondo quanto comunicato dal maintainer Don Ho, tra giugno e il 2 dicembre 2025 alcuni utenti selezionati potrebbero aver ricevuto aggiornamenti malevoli a causa di un attacco a livello di infrastruttura.
L’incidente non ha coinvolto vulnerabilità nel codice di Notepad++, ma rappresenta un classico e preoccupante attacco alla supply chain, sempre più frequente anche nel mondo del software open source.
Cosa è successo esattamente
Gli aggressori sono riusciti a compromettere il server di hosting condiviso utilizzato per distribuire gli aggiornamenti di Notepad++. In questo modo hanno potuto:
- intercettare il traffico diretto a
notepad-plus-plus.org, - reindirizzare selettivamente alcuni utenti verso server controllati dagli attaccanti,
- fornire manifest di aggiornamento alterati contenenti installer malevoli.
Un aspetto fondamentale è che l’attacco non era indiscriminato: solo utenti specifici venivano colpiti, segno di un’operazione mirata e sofisticata.
Un’operazione attribuita a un gruppo statale
Diversi ricercatori di sicurezza ritengono che dietro l’attacco ci sia un gruppo di cyber-spionaggio legato alla Cina, noto per operazioni altamente selettive contro organizzazioni con interessi strategici in Asia orientale.
Secondo le indagini, anche dopo aver perso l’accesso diretto al server (2 settembre 2025), gli attaccanti hanno continuato a operare grazie a credenziali interne sottratte, mantenendo il controllo fino al 2 dicembre 2025, data in cui ogni accesso non autorizzato è stato definitivamente revocato.
Le contromisure adottate da Notepad++
In risposta all’incidente, il team di Notepad++ ha messo in campo una serie di misure correttive importanti:
- migrazione completa del sito e dell’infrastruttura verso un nuovo provider più sicuro;
- rafforzamento dell’updater WinGUp già dalla versione 8.8.9;
- verifica obbligatoria di certificati e firme digitali degli installer;
- firma crittografica (XMLDSig) dei file di aggiornamento;
- ulteriori controlli che diventeranno obbligatori con la versione 8.9.2.
Il maintainer ha inoltre pubblicamente chiesto scusa agli utenti, sottolineando che la situazione è ora considerata completamente risolta.
Cosa devono fare gli utenti
Se utilizzi Notepad++, è fortemente consigliato:
- aggiornare manualmente almeno alla versione 8.8.9 o superiore;
- scaricare l’installer solo dal sito ufficiale;
- controllare eventuali file sospetti come
update.exeoAutoUpdater.exenelle cartelle temporanee; - monitorare l’attività del processo
