Prima di procedere
Un grave incidente di sicurezza informatica ha colpito gli utenti di Notepad++, il popolare editor di testo open source. Nel corso della seconda metà del 2025, criminali informatici sono riusciti a compromettere il server che ospita il sito web del progetto, distribuendo aggiornamenti malevoli agli utenti ignari.
Secondo gli sviluppatori di Notepad++, gli aggressori, sospettati di avere legami con il governo cinese, hanno mantenuto l'accesso alle risorse del progetto da giugno a dicembre 2025. Questa prolungata intrusione "potrebbe spiegare l'approccio selettivo all'attacco delle vittime", suggerendo che l'operazione fosse mirata a specifici obiettivi.
Gli esperti di sicurezza informatica di Rapid7 hanno attribuito l'attacco al gruppo Lotus Blossom, noto per le sue campagne di spionaggio e sabotaggio. Le vittime identificate includono organizzazioni governative, aziende di telecomunicazioni, settori dell'aviazione, infrastrutture critiche e persino media.
Notepad++ è un progetto consolidato e ampiamente utilizzato, con decine di milioni di download in tutto il mondo. La sua base di utenti comprende sia privati cittadini che grandi organizzazioni. L'attacco ha permesso agli hacker di violare un numero imprecisato di organizzazioni con "interessi nell'Asia orientale". Kevin Beaumont, l'esperto di sicurezza informatica che ha scoperto l'incidente, ha sottolineato che è stato sufficiente che un solo utente eseguisse una versione infetta del programma per compromettere l'intera rete aziendale, dando agli hacker un accesso diretto ai computer delle vittime.
Il "meccanismo tecnico preciso" utilizzato per violare i server del progetto rimane sconosciuto. Gli sviluppatori hanno dichiarato che l'indagine è ancora in corso. Il sito di Notepad++ era ospitato su un server condiviso con altri progetti. Gli aggressori hanno "attaccato deliberatamente" il dominio associato al programma, sfruttando vulnerabilità nel software del server per reindirizzare alcuni utenti a un server controllato dagli hacker. Questo ha permesso loro di distribuire versioni compromesse di Notepad++.
La vulnerabilità sfruttata è stata corretta a novembre 2025, ma gli hacker hanno mantenuto l'accesso al server fino all'inizio di dicembre. Hanno tentato di riacquistare l'accesso, ma il tentativo è fallito poiché la falla era stata chiusa.
Il fornitore di hosting ha confermato la violazione del server, ma non ha fornito dettagli su come gli hacker sono riusciti a infiltrarsi nel sistema. Gli sviluppatori di Notepad++ si sono scusati per l'incidente e hanno esortato tutti gli utenti a scaricare l'ultima versione del programma, che include le correzioni di sicurezza necessarie.
Questo incidente sottolinea l'importanza cruciale di mantenere aggiornato il software e di essere consapevoli dei rischi associati al download di programmi da fonti non verificate. Anche i progetti open source popolari possono essere vulnerabili agli attacchi informatici, e gli utenti devono adottare misure di sicurezza proattive per proteggere i propri sistemi e dati.
