Cíl je důvěra: jak útočníci zneužili aktualizace Notepad++

Populární open-source editor Notepad++ se v roce 2025 stal cílem cíleného kybernetického útoku, při kterém útočníci zneužili kompromitovanou infrastrukturu používanou k distribuci aktualizací. Incident podle dostupných informací probíhal přibližně od června 2025 do 2. prosince 2025 a zapadá do širšího trendu útoků na tzv. software supply chain.

Na rozdíl od běžných kampaní nešlo o masovou distribuci škodlivého kódu. Útočníci podle všeho postupovali selektivně a zaměřovali se pouze na vybrané oběti. Právě tento přístup je typický pro sofistikované, dlouhodobé operace spojené se státem podporovanými aktéry.

Kompromitace aktualizační infrastruktury

Z veřejně dostupných informací vyplývá, že útok nesměřoval přímo na zdrojový kód aplikace, ale na infrastrukturu, která zajišťovala distribuci aktualizací. Útočníci získali přístup k hostingovému prostředí a byli schopni po omezenou dobu přesměrovávat aktualizační požadavky vybraných uživatelů na servery pod svou kontrolou.

Tento scénář byl umožněn tím, že starší verze Notepad++ neprováděly dostatečně silné ověřování integrity aktualizačních balíčků. Útočníci tak mohli nabídnout upravenou aktualizaci bez toho, aby si uživatel čehokoliv všiml. Přístup útočníků k infrastruktuře byl definitivně ukončen 2. prosince 2025.

Oprava a reakce projektu

Krátce po odhalení incidentu byla vydána verze 8.8.9, která významně posílila bezpečnost aktualizačního procesu. Aktualizační mechanismus nyní ověřuje podpis a certifikát staženého instalátoru a v případě neúspěchu aktualizaci zablokuje.

Projekt zároveň migroval k novému hostingovému poskytovateli, zpřísnil bezpečnostní opatření a provedl rotaci přístupových údajů. Z pohledu reakce maintainerů lze incident považovat za relativně rychle a transparentně řešený.

Jaký malware byl použit

Bezpečnostní výzkumníci popsali, že útok sloužil k doručení dříve nezdokumentovaného backdooru označovaného jako Chrysalis. Pozorované chování zahrnovalo spuštění hlavní aplikace notepad++.exe, následné využití aktualizační komponenty GUP.exe a stažení podezřelého souboru update.exe z externí IP adresy.

Soubor update.exe byl instalátor typu NSIS a obsahoval více komponent umožňujících spuštění škodlivého kódu pomocí techniky známé jako DLL sideloading. Útočníci přitom zneužili legitimní spustitelné soubory, aby minimalizovali šanci na odhalení bezpečnostními nástroji.

Backdoor Chrysalis byl schopen shromažďovat informace o napadeném systému a komunikovat s řídicím serverem za účelem přijímání dalších příkazů. Analýza ukázala, že implantát byl technicky vyspělý a podporoval řadu funkcí, včetně práce se soubory, spouštění procesů nebo vlastního odstranění ze systému.

Co zůstává nejasné

Veřejně dostupné informace se shodují v tom, že šlo o cílený incident s omezeným rozsahem. Zatím však není známo, kolik uživatelů bylo skutečně zasaženo a v jakém rozsahu byly škodlivé aktualizace doručeny. Neexistují ani důkazy o plošném zneužití aktualizačního mechanismu k masové distribuci malwaru.

Incident kolem Notepad++ tak znovu připomíná, že i běžné a důvěryhodné nástroje mohou být zneužity nepřímo – nikoliv chybou uživatele, ale narušením důvěry v samotný proces aktualizace.

Incident kolem Notepad++ není ojedinělý. Podobné útoky, při kterých útočníci zneužili důvěru v aktualizace, legitimní software nebo infrastrukturu dodavatelů, jsme mohli sledovat už v minulosti. Právě tyto historické paralely pomáhají pochopit, proč jsou supply-chain útoky dnes jednou z nejnebezpečnějších forem kybernetických operací a podíváme se na ně v části článku pro předplatitele CCTV+ 👇