Notepad++, geliştiriciler arasında popüler bir metin düzenleyici, 2025 yılında ciddi bir tedarik zinciri saldırısına uğradı. Şubat 2026'da yapılan açıklamaya göre, Notepad++'ın güncelleme altyapısı, Haziran'dan Eylül 2025'e kadar süren bir hosting sağlayıcı olayı nedeniyle ele geçirildi. Saldırganlar, bu süre zarfında iç hizmetlere erişimlerini sürdürdüler ve hatta Aralık 2025'e kadar bu erişimi korudular. Kaspersky'nin telemetri verileri, saldırının karmaşıklığını ve çok yönlülüğünü ortaya koydu.
Temmuz'dan Ekim 2025'e kadar dört ay boyunca, saldırganlar kötü amaçlı güncellemeleri dağıtmak için kullanılan C2 sunucu adreslerini, implant dağıtımı için kullanılan indiricileri ve nihai payload'ları sürekli olarak değiştirdi. Bu saldırılar, Vietnam, El Salvador ve Avustralya'daki bireylerin yanı sıra Filipinler'deki bir devlet kuruluşu, El Salvador'daki bir finans kuruluşu ve Vietnam'daki bir BT hizmet sağlayıcısı olmak üzere yaklaşık bir düzine makineyi hedef aldı. Kaspersky çözümleri, tespit edilen saldırıları anında engelleyerek daha fazla zararı önledi.
Saldırı zincirlerinden ilki, Temmuz 2025 sonunda gözlemlendi. Kötü amaçlı bir Notepad++ güncellemesi (update.exe olarak adlandırılan bir NSIS yükleyicisi) belirli bir IP adresinde barındırılıyordu. Bu dosya, çalıştırıldığında sistem bilgilerini (whoami ve tasklist komutları aracılığıyla) toplayıp 1.txt adlı bir dosyaya kaydediyordu. Ardından, bu dosyayı temp.sh hizmetine yüklüyor ve yüklenen dosyanın URL'sini curl.exe kullanarak C2 sunucusuna gönderiyordu. Bu URL, user-agent başlığı içine gizlenmişti. Bu detaylar, saldırganların kullandığı sofistike teknikleri gözler önüne seriyor.
Bu olay, popüler yazılımların tedarik zincirlerinin ne kadar savunmasız olabileceğini ve kötü niyetli aktörlerin hedeflerine ulaşmak için ne kadar karmaşık yöntemler kullanabileceğini gösteriyor.