Notepad++ sotto attacco: dietro il malware hacker sponsorizzati dallo Stato

A dicembre 2025 vi abbiamo dato conto di un colossale attacco informatico subìto da Notepad++, il celebre editor libero (licenza GNU GPL). Improvvisamente, il sistema di aggiornamento integrato nell’applicazione, ha cominciato a scaricare malware sui PC degli utenti finali.

Lo sviluppatore di Notepad++ ha subito reagito, pubblicando una versione aggiornata del software e risolvendo alla radice il problema che ha permesso agli aggressori di indurre il programma a scaricare e installare aggiornamenti malevoli. Contemporaneamente, però, sono state avviate una serie di verifiche per accertare le modalità di attacco e la provenienza dell’aggressione.

Adesso, a distanza di un paio di mesi dall’accaduto, arriva la conferma: dietro all’attacco sferrato a Notepad++ e ai suoi utenti ci sono hacker finanziati da uno Stato.

Un attacco fuori dal perimetro del codice

Gli approfondimenti condotti insieme a ricercatori indipendenti e a un team di incident response, hanno evidenziato una compromissione a livello di server condiviso. L’origine dell’attacco non andava infatti ricercata nel software in sé, bensì nell’ambiente di hosting che gestiva parte dell’infrastruttura di aggiornamento di Notepad++.

Gli attori malevoli sono riusciti a ottenere accesso all’infrastruttura del provider, intercettando in modo selettivo il traffico diretto al dominio ufficiale di Notepad++. In particolare, le richieste al servizio di aggiornamento erano reindirizzate verso server controllati dagli attaccanti, che restituivano manifest XML alterati contenenti URL di download malevoli.

Il carattere mirato dell’operazione è uno degli elementi più significativi. Non si è trattato di una campagna indiscriminata, ma di un’azione intesa a prendere di mira utenti specifici, con logiche compatibili con operazioni di spionaggio o supply-chain attack avanzati. Più analisti hanno attribuito l’attività a un gruppo statale di matrice cinese, ipotesi coerente con il livello di sofisticazione e con la durata prolungata dell’accesso.

Timeline e persistenza dell’accesso

Secondo le evidenze raccolte, la compromissione iniziale risale a giugno 2025. Un intervento di manutenzione del provider, avvenuto il 2 settembre 2025 con aggiornamenti di kernel e firmware, avrebbe interrotto l’accesso diretto degli attaccanti al server. Tuttavia, l’elemento più critico emerso successivamente riguarda la persistenza delle credenziali interne: anche dopo la perdita dell’accesso al sistema operativo, gli attori ostili avrebbero mantenuto l’uso di credenziali valide per i servizi interni fino al 2 dicembre 2025.

La finestra temporale spiega la discrepanza tra le valutazioni dei ricercatori, che collocano la fine operativa dell’attacco intorno al 10 novembre, e la posizione ufficiale del provider, che riconosce la possibilità di abuso fino a dicembre 2025.

Targeting e sfruttamento della catena di aggiornamento

Un aspetto cruciale è che gli attaccanti non hanno mostrato interesse per altri clienti ospitati sullo stesso server. I log indicano un’attenzione esclusiva per il dominio notepad-plus-plus.org, con l’obiettivo di sfruttare debolezze note nei meccanismi di verifica degli aggiornamenti presenti nelle versioni meno recenti del software. Un dettaglio che rafforza l’ipotesi di una conoscenza approfondita dell’architettura di update e di una preparazione mirata dell’operazione.

Non si tratta quindi di un attacco opportunistico, ma di una compromissione della supply chain, in cui il vettore principale è la fiducia riposta dagli utenti nel canale ufficiale di distribuzione degli aggiornamenti.

Rafforzamento del modello di sicurezza applicativo

L’aspetto più rilevante, in prospettiva futura, è l’evoluzione del modello di sicurezza interno a Notepad++. A partire dalla versione 8.8.9, il componente di aggiornamento WinGup verifica non solo il certificato TLS, ma anche la firma digitale dell’installer scaricato. Inoltre, l’XML restituito dal server di update è ora firmato tramite XMLDSig.

Con la versione 8.9.2, prevista a breve, l’autore di Notepad++ – Don Ho – aggiunge che la verifica della firma e del certificato diventerà obbligatoria, riducendo drasticamente la possibilità di attacchi di reindirizzamento anche in presenza di una compromissione dell’infrastruttura di rete o dell’hosting.

Cosa significa “State-Sponsored Hackers”

Un attacco sponsorizzato da enti statali non è il tipico malware che si diffonde a tappeto in rete o la campagna di hacking commerciale. Ha risorse significative dietro di sé, è mirato a obiettivi specifici, spesso istituzioni o aziende con valore strategico (ad esempio telecom, istituzioni finanziarie, agenzie governative), è coordinato e con obiettivi di intelligence o geopolitici, piuttosto che motivato da semplice profitto economico.

Nel caso di Notepad++, le indicazioni che hanno portato a questa attribuzione includono:

• Il fatto che l’intercettazione è avvenuta a livello del traffico di rete, qualcosa non comune nei semplici attacchi malware.
• La difficoltà tecnica di manipolare il traffico HTTPS in modo selettivo e persistente senza accesso alle infrastrutture di livello profondo (come nodi ISP o router di backbone), capacità che solitamente sono associate ad attori dotati di risorse statali.

Non significa che l’obiettivo fosse solo Notepad++ come prodotto. È più probabile che gli aggressori abbiano usato il meccanismo di aggiornamento di Notepad++ come vettore per raggiungere obiettivi più specifici nei loro bersagli prescelti.