Nhà phát triển Notepad++ xác nhận cơ chế cập nhật chính thức của phần mềm đã bị lợi dụng để chuyển hướng một số người dùng đến các máy chủ độc hại, khiến họ tải về các tệp cài đặt không phải bản phát hành hợp lệ.
Theo ông Don Ho, nhà sáng lập và duy trì Notepad++, sự cố không bắt nguồn từ lỗ hổng trong mã nguồn phần mềm mà xuất phát từ việc hạ tầng của nhà cung cấp dịch vụ lưu trữ website notepad-plus-plus.org bị xâm nhập. Việc chiếm quyền kiểm soát ở cấp hạ tầng cho phép kẻ tấn công can thiệp vào lưu lượng truy cập, chuyển hướng quá trình cập nhật sang các máy chủ không thuộc Notepad++.
Sự việc liên quan đến WinGUp, công cụ cập nhật tích hợp của Notepad++. Trong một số trường hợp, lưu lượng cập nhật từ WinGUp đã bị chuyển hướng, khiến người dùng tải về các tệp thực thi đã bị chỉnh sửa. Notepad++ cho biết cơ chế kiểm tra tính toàn vẹn và xác thực của tệp cập nhật trước đây chưa đủ chặt chẽ, tạo điều kiện để kẻ tấn công – nếu có khả năng kiểm soát đường truyền giữa máy người dùng và máy chủ – đánh tráo tệp cập nhật.
Lỗ hổng này đã được khắc phục trong phiên bản Notepad++ 8.8.9, phát hành đầu năm 2026. Theo thông tin công bố, hoạt động chuyển hướng độc hại không diễn ra trên diện rộng mà chỉ ảnh hưởng đến một số người dùng nhất định, khiến sự cố kéo dài nhiều tháng mà không bị phát hiện. Các dấu hiệu cho thấy sự việc bắt đầu từ tháng 6/2025.
Theo thông tin từ nhà phát triển dự án Notepad++, đơn vị cung cấp dịch vụ lưu trữ cũ xác nhận máy chủ dùng chung đã bị xâm nhập cho đến ngày 2/9/2025. Đáng chú ý, ngay cả sau khi Notepad++ không còn quyền truy cập vào hệ thống này, kẻ tấn công vẫn giữ được thông tin xác thực đối với một số dịch vụ nội bộ, cho phép chúng tiếp tục chuyển hướng lưu lượng cập nhật cho đến ngày 2/12/2025.
Nhà nghiên cứu bảo mật độc lập Kevin Beaumont cho biết ông đã ghi nhận việc lỗ hổng này bị khai thác trong thực tế, với các nạn nhân bị lừa tải về phần mềm độc hại thông qua cơ chế cập nhật của Notepad++. Tuy nhiên, đến nay dự án vẫn chưa công bố chi tiết phương thức tấn công kỹ thuật cụ thể và cho biết quá trình điều tra vẫn đang được tiếp tục.
Sau sự cố, website Notepad++ đã được chuyển sang nhà cung cấp hạ tầng mới và hệ thống cập nhật được rà soát, củng cố lại. Dự án khuyến cáo người dùng cập nhật lên phiên bản mới nhất và chỉ tải phần mềm từ nguồn chính thức để hạn chế rủi ro.