Dünyanın en popüler açık kaynak kodlu metin düzenleyicilerinden biri olan Notepad++, tarihinin en ciddi güvenlik sınavlarından birini veriyor. Uygulamanın geliştiricisi tarafından yapılan şok edici açıklamaya göre, devlet destekli olduğu düşünülen bilgisayar korsanları, yazılımın güncelleme altyapısını aylarca kontrol altında tuttu. Bu süreçte, belirli kullanıcıların güncelleme trafiği ele geçirilerek orijinal dosyalar yerine kötü amaçlı yazılımlar servis edildi.
Olayın vahameti, saldırının Haziran 2025’ten Aralık 2025’e kadar, yani yaklaşık altı ay boyunca fark edilmeden devam etmesinden kaynaklanıyor.
Saldırganlar sunucu altyapısına sızarak güncelleme trafiğini kötü amaçlı dosyalara yönlendirdi
Yapılan teknik analizler, saldırının Notepad++’ın kaynak kodundaki bir hatadan değil, uygulamanın barındırıldığı hosting sağlayıcısındaki bir güvenlik zafiyetinden kaynaklandığını ortaya koydu. Saldırganlar, altyapı seviyesinde bir sızma gerçekleştirerek notepad-plus-plus.org alan adına giden güncelleme trafiğini manipüle etmeyi başardı.
Bu saldırı rastgele yapılmadı. Korsanlar, belirli kullanıcı profillerini hedef alarak trafiği seçici bir şekilde kendi sunucularına yönlendirdi. Kullanıcılar programı güncellemek istediklerinde, resmi sunucu yerine saldırganların kontrolündeki sunucudan virüslü bir dosya indirdiler. Bu yöntem, eski Notepad++ sürümlerindeki yetersiz güncelleme doğrulama kontrollerinden faydalandı.
Saldırı altı ay boyunca fark edilmeden devam etti
Bağımsız güvenlik araştırmacıları, saldırının arkasındaki “tehdit aktörünün” muhtemelen Çin devlet destekli bir grup olduğunu değerlendiriyor. Bu tespit, saldırının neden kitlesel bir virüs yayma girişimi yerine, son derece seçici ve hedef odaklı bir casusluk faaliyeti gibi yürütüldüğünü de açıklıyor.
Hosting sağlayıcısının raporuna göre, saldırganlar Eylül ayında sunucuya doğrudan erişimlerini kaybetseler de, çaldıkları iç hizmet kimlik bilgileri sayesinde Aralık 2025’e kadar trafiği yönlendirmeye devam edebildiler.
En son sürümü manuel olarak indirip kurmanız gerekiyor
Geliştirici ekip, bu ciddi ihlalin ardından web sitesini çok daha güvenli bir sağlayıcıya taşıdı ve güvenlik açıklarını kapattı. Özellikle v8.8.9 ve sonrası sürümlerde, güncelleme aracısı (WinGUp) artık indirilen dosyaların dijital imzasını ve sertifikasını sıkı bir şekilde kontrol ediyor. İlerleyen günlerde çıkacak v8.9.2 sürümüyle bu kontroller zorunlu hale gelecek.
Eğer bilgisayarınızda eski bir Notepad++ sürümü yüklüyse, otomatik güncellemeyi kullanmak yerine resmi sitesinden en son sürümü (şu an v8.9.1 öneriliyor) manuel olarak indirip kurmanız şiddetle tavsiye ediliyor. Bu işlem, hem olası bir yönlendirme riskini ortadan kaldırıyor hem de gelecekteki saldırılara karşı yazılımınızı güçlendiriyor.
