The developer of the popular open source text editor Notepad++ has confirmed that hackers hijacked the software to deliver malicious updates to users over the course of several months in 2025. In a blog post published Monday, Notepad++ developer Don Ho indicated that the cyberattack was likely carried out by hackers associated with the Chinese government between June and December 2025. Multiple analyses by security experts who examined both the malware payloads and the attack patterns led to this conclusion. According to Ho, this “would explain the highly selective targeting” observed during the campaign.

Origjina dhe objektivi i sulmit

Rapid7, një kompani e specializuar në sigurinë kibernetike, që hetoi incidentin, ia atribuoi sulmin grupit Lotus Blossom — një grup spiunazhi i njohur për lidhjet me Kinën. Sipas tyre, sulmi kishte si objektiv sektorë të tillë si qeveria, telekomi, aviacioni, infrastruktura kritike dhe media. Notepad++ është një nga projektet open source më të vjetra, që i ka shërbyer përdoruesve për më shumë se dy dekada. Deri më sot, numërohen dhjetëra miliona shkarkime të Notepad++, përfshirë punonjës të organizatave në mbarë botën.

Kevin Beaumont, studiues i sigurisë që zbuloi për herë të parë këtë sulm, raportoi në dhjetor se hakerat kompromentuan një numër të vogël organizatash me interesa në Azinë Lindore. Kjo ndodhi pasi dikush shkarkoi pa dijeni një version të infektuar të softuerit. Sipas tij, sulmuesit fituan akses të drejtpërdrejtë në kompjuterët që ekzekutonin versionet e komprometuara të Notepad++.

Mekanizmi i sulmit dhe masat e mara

Don Ho tha se “mekanizmi teknik i saktë” se si hakerat depërtuan në serverët e tij ende po hetohet, por ai dha disa detaje rreth mënyrës si ndodhi incidenti. Sipas Ho, faqja zyrtare e Notepad++ ishte e hostuar në një server të ndarë (shared hosting). Atje, sulmuesit “synuan posaçërisht” domenin e Notepad++, me qëllim që të shfrytëzonin një cenueshmëri në softuer për të ridrejtuar disa përdorues drejt serverit të tyre të kontrolluar. Ky veprim u mundësoi atyre të shpërndanin përditësime të dëmshme tek përdoruesit që kërkonin update, deri sa cenueshmëria u riparua në nëntor dhe aksesi i sulmuesve u ndërpre në fillim të dhjetorit.

“Ne kemi log’e që tregojnë se aktori i keq tentoi ta shfrytëzojë sërish një nga cenueshmëritë tashmë të riparuara, por tentativa nuk pati sukses pas implementimit të patch-it,” shkroi Ho. Në një email për TechCrunch, Ho shtoi se ofruesi i hostimit konfirmoi se serveri i përbashkët ishte kompromentuar, por nuk sqaruan mënyrën fillestare të depërtimit të hakerëve.

Don Ho kërkoi ndjesë për incidentin dhe u bëri thirrje përdoruesve të shkarkojnë versionin më të fundit të Notepad++, i cili përmban patch-in e nevojshëm. Kjo ngjarje të kujton sulmin kibernetik të viteve 2019-2020 mbi klientët e SolarWinds, kompani e njohur për mjetet e menaxhimit të IT dhe rrjetit. Atëherë, spiunë rus depërtuan në serverët e SolarWinds dhe instaluan fshehurazi një backdoor në softuer, duke u dhënë akses në të dhënat e klientëve, përfshirë agjencitë qeveritare si Homeland Security, Commerce, Energy, Justice dhe State.

Përditësuar me përgjigje nga Don Ho dhe informacione shtesë nga analiza e Rapid7.

Tags: Notepad++, sulm kibernetik, Lotus Blossom, spiunazh kinez, open source, siguri software