أعلن مطوّر برنامج Notepad++، دون هو، أن جهات تهديد مدعومة من دولة تمكنت من اختراق آلية التحديث الخاصة بالأداة الشهيرة، عبر السيطرة على البنية التحتية لمزوّد الاستضافة وتحويل حركة التحديثات إلى خوادم خبيثة.
الهجوم لم يكن نتيجة ثغرة في كود البرنامج نفسه، بل جاء نتيجة اختراق على مستوى البنية التحتية، ما سمح للمهاجمين باعتراض حركة المرور الموجهة إلى موقع notepad-plus-plus.org وإعادة توجيهها نحو خوادم ضارة.
خلفيات أمنية للهجوم
الهجوم ارتبط بإصدار النسخة 8.8.9 من البرنامج في ديسمبر 2025، حيث تبين أن أداة التحديث WinGUp كانت تُحوّل أحياناً إلى نطاقات خبيثة، مما أدى إلى تنزيل ملفات تنفيذية مسمومة.
المشكلة تعود إلى طريقة التحقق من سلامة الملفات في آلية التحديث، إذ تمكن المهاجمون من خداع الأداة عبر اعتراض حركة الشبكة بين العميل والخادم، واستبدال الملف الأصلي بآخر خبيث.
استهداف محدود وموجه
بحسب التحقيقات، فإن إعادة التوجيه كانت موجهة بشكل انتقائي، حيث اقتصر استهداف المستخدمين على مناطق محددة. ويُعتقد أن الهجوم بدأ في يونيو 2025 واستمر لأكثر من ستة أشهر قبل اكتشافه.
الباحث الأمني المستقل كيفن بومونت كشف أن الهجوم استُخدم من قبل جهات تهديد صينية تُعرف باسم Violet Typhoon (APT31)، واستهدف مؤسسات الاتصالات والخدمات المالية في شرق آسيا، ما يعكس طبيعة الهجوم كعملية تجسس سيبراني مدعومة من دولة.
إجراءات الاستجابة
رداً على الحادثة، تم نقل موقع Notepad++ إلى مزوّد استضافة جديد يتمتع بممارسات أمنية أقوى، كما تم تعزيز آلية التحديث بإجراءات تحقق إضافية لضمان سلامتها.
دون هو أوضح أن خادم الاستضافة السابق ظل مخترقاً حتى سبتمبر 2025، وأن المهاجمين احتفظوا ببيانات اعتماد داخلية حتى ديسمبر 2025، مما سمح لهم بمواصلة إعادة توجيه حركة التحديثات لفترة طويلة.
