Notepad++'ın güncelleme mekanizması, Haziran 2025'ten itibaren devlet destekli olduğu düşünülen siber saldırganlar tarafından hedef alındı. Yapılan detaylı incelemeler ve güvenlik uzmanlarının analizleri, saldırının Notepad++'ın kendi kodundaki bir güvenlik açığından değil, barındırma sağlayıcısının altyapı seviyesindeki bir güvenlik ihlali üzerinden gerçekleştiğini ortaya koydu. Saldırganlar, barındırma sağlayıcısının sunucusunu ele geçirerek, belirli hedeflenmiş kullanıcıların güncelleme trafiğini kötü niyetli sunuculara yönlendirmeyi başardı. Bu durum, kullanıcılara sahte ve zararlı güncelleme manifestleri sunulmasına yol açtı.
Barındırma sağlayıcısı, güvenlik ihlalini Eylül 2025'e kadar devam eden bir sunucu ele geçirme durumu olarak tespit etti. Bu tarihte yapılan kernel ve firmware güncellemeleri sayesinde saldırganlar sunucuya doğrudan erişimi kaybetmiş olsa da, Aralık 2025'e kadar sunucuda bulunan dahili hizmetlere ait kimlik bilgilerini korumayı başardılar. Bu sayede, Notepad++'ın güncelleme indirme URL'sine giden trafiğin bir kısmını kendi kontrol ettikleri sunuculara yönlendirerek zararlı güncellemeler sunmaya devam edebildiler. Sağlayıcı, önlem olarak tüm müşteri web barındırma aboneliklerini yeni bir sunucuya taşıdı ve diğer müşterilerin bu saldırıdan etkilenmediğini belirtti. Olayın arkasında Çin devlet destekli bir grubun olduğu düşünülüyor, bu da saldırının yüksek oranda seçici hedeflenmesini açıklıyor.
Bu olay, popüler açık kaynak yazılımların bile altyapı düzeyindeki güvenlik zafiyetleri nedeniyle ciddi saldırılara maruz kalabileceğini ve kullanıcı güvenliğinin ne kadar kritik olduğunu gösteriyor.