A nyílt forráskódú szoftverek világát megrázó biztonsági incidens látott napvilágot: a népszerű Notepad++ szövegszerkesztő hivatalos frissítési infrastruktúráját kiberbűnözők térítették el. A 2026 februárjában nyilvánosságra hozott adatok szerint a támadás nem egy rövid ideig tartó akció volt, hanem egy módszeresen felépített, hónapokon át tartó ellátási lánc elleni kampány, amely mögött a jelek szerint kínai állami háttérrel rendelkező hackercsoportok állnak. A incidens rávilágít arra a kritikus sebezhetőségre, amelyet a fejlesztők és a felhasználók közötti bizalmi kapcsolat – jelen esetben az automatikus frissítési folyamat – jelent.
A Notepad++ közössége és a biztonsági kutatók jelenleg is a romok eltakarításán és a károk felmérésén dolgoznak. Az eset különösen aggasztó, mivel a Notepad++ világszerte több tízmillió fejlesztő, rendszergazda és tech-szubkultúrához tartozó felhasználó alapvető eszköze. Egy ilyen szoftver kompromittálódása közvetlen bejárást biztosíthat a támadóknak a legérzékenyebb vállalati és kormányzati rendszerekbe is, hiszen a szövegszerkesztőt gyakran konfigurációs fájlok, jelszavak és forráskódok kezelésére használják.
A támadás háttere
A Notepad++ elleni támadás gyökerei egészen 2025 júniusáig nyúlnak vissza, bár a nyilvánosság csak 2026 februárjának elején szembesült a teljes képpel. A biztonsági elemzések szerint a támadók nem magát a Notepad++ forráskódját módosították közvetlenül a fejlesztői környezetben, hanem a terjesztési csatornát, azaz a frissítési szervert (update server) kerítették hatalmukba. Ez a módszer kísértetiesen emlékeztet a korábbi nagy visszhangot kiváltó SolarWinds vagy a 3CX incidensekre, ahol a legitim szoftverfrissítésekbe rejtettek kártékony kódot.
A kutatók megállapították, hogy a támadók rendkívül türelmesek voltak. A célzott ellátási lánc támadás során a frissítési infrastruktúrát úgy módosították, hogy bizonyos feltételek teljesülése esetén – például specifikus IP-cím tartományokból érkező kérésekre – kártékony, hátsó ajtóval (backdoor) felszerelt verziókat szolgáljon ki a gyanútlan felhasználóknak. Ez a szelektív célzás tette lehetővé, hogy a támadás hónapokig észrevétlen maradjon, elkerülve az automatizált sandbox elemző rendszerek figyelmét.
Mi történt pontosan?
A projekt vezetője, Don Ho által közzétett hivatalos tájékoztatás szerint a támadók kifinomult technikákat alkalmaztak a frissítési binárisok aláírására és terjesztésére. A legfrissebb jelentések alapján a 2025 júniusa és 2025 decembere között letöltött frissítések egy része fertőzött lehetett. A kártékony kód elsődleges feladata az információszerzés és a további kártevők letöltése volt. Az elemzések szerint a hackerek kifejezetten a technológiai szektor és a kritikus infrastruktúra területén dolgozó szakembereket célozták meg.
A biztonsági kutatók jelenleg egy ShadowPad néven ismert távoli hozzáférésű trójai (RAT) jelenlétét vizsgálják a fertőzött verziókban, amely szorosan köthető bizonyos kínai állami csoportokhoz, például az APT41-hez. A támadás nem csupán a fájlok módosításáról szólt; a támadók teljes ellenőrzést szereztek a Notepad++ weboldalának bizonyos szegmensei felett is, így hitelesnek tűnő, de fertőzött telepítőcsomagokat is közzétehettek.
Piaci és iparági hatások
A Notepad++ incidens súlyos csapás a nyílt forráskódú szoftverekbe vetett bizalomra nézve. Bár maga a projekt továbbra is biztonságosnak tekinti a legfrissebb, már tiszta infrastruktúrából érkező verzióit, a biztonsági szakértők szerint az eset rávilágít a központosított frissítési rendszerek veszélyeire. Számos nagyvállalat azonnal elrendelte a Notepad++ ideiglenes tiltását a belső hálózataikon, amíg a teljes audit le nem zárul.
Az iparági szakértők szerint ez az eset felgyorsíthatja a szoftverekhez tartozó anyagjegyzék (SBOM – Software Bill of Materials) kötelező bevezetését, amely lehetővé tenné a szervezetek számára, hogy pontosan nyomon kövessék, milyen komponensekből épül fel a szoftverük, és azok honnan származnak. A biztonsági piacon megnőtt az igény az olyan végpontvédelmi megoldásokra, amelyek képesek detektálni a legitim folyamatokba ágyazott gyanús hálózati tevékenységeket.
Adatok és technikai specifikációk
Az alábbi táblázat összefoglalja a Notepad++ elleni támadás legfontosabb adatait és a kompromittált időszakokat.
| Megnevezés | Részletek / Érintett időszak | Megjegyzés |
|---|---|---|
| Támadás kezdete | 2025. június | Az első eltérítési jelek |
| Feltárás dátuma | 2026. február 2-3. | Nyilvános bejelentés |
| Támadás típusa | Ellátási lánc támadás (Supply Chain) | Update server kompromittálás |
| Feltételezett elkövető | Kínai állami hackerek (pl. APT41) | Módszertan és kódminták alapján |
| Érintett verziók | v8.5.x – v8.7.x (részlegesen) | Ellenőrizze a digitális aláírást! |
| Kártevő típusa | ShadowPad RAT / Custom Backdoor | Adatszivárgás és távoli elérés |
Magyar vonatkozások
Magyarországon a Notepad++ az egyik legelterjedtebb ingyenes eszköz a hazai IT-szakemberek körében. Szinte nincs olyan magyar szoftverfejlesztő cég vagy rendszerintegrátor, ahol ne használnák napi szinten. A hazai kiberbiztonsági szakértők arra figyelmeztetnek, hogy a magyarországi felhasználóknak is kötelező jelleggel át kell vizsgálniuk a telepített verziókat. Különösen kritikus ez azon állami és pénzügyi szektorban dolgozók számára, akik a Notepad++-t bizalmas adatok, például SQL lekérdezések vagy szkriptek szerkesztésére használták az elmúlt fél évben.
A magyar biztonsági közösség fórumain már megkezdődött az érintett hash-értékek (fájl-ujjlenyomatok) terjesztése, amelyek segítségével azonosíthatók a fertőzött példányok. Javasolt a teljes újratelepítés a hivatalos, most már megtisztított forrásból, valamint a jelszavak cseréje minden olyan szolgáltatásnál, amelynek belépési adatait a szoftverben tárolták vagy szerkesztették.
Kilátások és következő lépések
A Notepad++ csapata ígéretet tett a biztonsági protokollok radikális szigorítására. Ez magában foglalja a kétfaktoros hitelesítés kiterjesztését az összes infrastruktúra-elemre, valamint a frissítések többcsatornás verifikációját. A jövőben a felhasználóknak azt tanácsolják, hogy ne csak az automatikus frissítésekre támaszkodjanak, hanem manuálisan is ellenőrizzék a letöltött fájlok GPG aláírását.
Hosszabb távon az eset rákényszeríti a közösséget a nyílt forráskódú ökoszisztéma finanszírozási és biztonsági kérdéseinek újragondolására. Amíg egy ilyen kritikus fontosságú eszköz fejlesztése és üzemeltetése egy maroknyi ember vállán nyugszik, addig az állami támogatású hackercsoportok mindig találnak majd gyenge pontot a pajzson. A felhasználók számára a legfontosabb teendő most az ellenőrzés és a prevenció: egy alapos vírusirtás és a szoftver frissítése a 2026. februári, javított kiadásokra.
