Notepad++ ellátásilánc-támadás
2025 júniusában indult el egy célzott kibertámadás, amelynek során kínai állami támogatással rendelkező hackerek kompromittálták a Notepad++ szövegszerkesztő frissítési rendszerét. A támadók egy megosztott hosting szolgáltató szerverét használták fel, hogy csak bizonyos Notepad++ felhasználók forgalmát fogják el és manipulálják. A támadás egészen 2025. szeptember 2-ig tartott, amikor a rendszer rendszeres karbantartása során frissítették a szerver magját és firmverét, ezzel véget vetve a kompromittáltságnak.
A támadás során a hackerek egy Chrysalis nevű, speciálisan erre a célra fejlesztett malware-t juttattak el a célszemélyekhez. A biztonsági szakértők és a hosting szolgáltató közös nyomozása során kiderült, hogy a támadók kizárólag a Notepad++ felhasználók forgalmát célozták meg, más, ugyanazon a szerveren tárolt ügyfeleket nem érintett a támadás. A nyomozás során a Lotus Blossom kínai csoportot azonosították a támadás mögött, akik már több mint egy évtizede aktívak.
A Notepad++ fejlesztői és fenntartói az eset nyilvánosságra kerülése után azonnal lépéseket tett a biztonság javítása érdekében. A szolgáltatót váltották, és új, kliensoldali mechanizmusokat vezettek be, amelyek biztosítják a frissítések integritásának ellenőrzését.
A támadás főleg kelet-ázsiai telekommunikációs és pénzügyi szolgáltatókat érintett, ahol a Notepad++ szoftvert használták. A biztonsági szakértők szerint a támadók a szövegszerkesztő frissítési rendszerén keresztül nyertek elsődleges hozzáférést a célszemélyek rendszereihez, majd onnan folytatták a további kémkedési és adatlopási tevékenységeket.
