Popüler açık kaynak kodlu metin editörü Notepad++’ın geliştiricisi, yazılımın 2025 yılı boyunca kötü amaçlı güncellemeler ile kullanıcılara ulaşmak üzere hackerlar tarafından ele geçirildiğini doğruladı.
Notepad++ geliştiricisi Don Ho, pazartesi günü yayımladığı blog yazısında bu siber saldırının muhtemelen Çin hükümetiyle bağlantılı hackerlar tarafından, güvenlik uzmanlarının kötü amaçlı yazılım paketleri ve saldırı desenlerini incelemesine dayanarak, Haziran ile Aralık 2025 arasında gerçekleştirildiğini belirtti. Ho, bunun kampanya sırasında görülen “son derece seçici hedeflemeyi” açıkladığını ifade etti.
Olayı araştıran Rapid7, hacker saldırısını Lotus Blossom isimli uzun süredir var olan bir casusluk grubuna atfetti ve saldırıların hükümet, telekomünikasyon, havacılık, kritik altyapı ve medya sektörlerini hedef aldığını belirtti.
Notepad++, yirmi yılı aşkın bir süredir devam eden en uzun süreli açık kaynak projelerden biridir ve dünya genelindeki çeşitli kuruluşların çalışanları da dahil olmak üzere, en az on milyon indirmeye ulaşmıştır.
Güvenlik araştırmacısı Kevin Beaumont, siber saldırıyı ilk bulan ve bulgularını Aralık ayında yayınlayan biri olarak, saldırganların “Doğu Asya ile ilgisi olan” birkaç kuruluşu tehlikeye attığını ifade etti. Beaumont’a göre, hackerlar, popüler yazılımın enfekte olmuş bir versiyonunu kullanan birinin yardımıyla birkaç kuruluşun bilgisayarlarına “doğrudan erişim” elde etti.
Ho, hackerların sunucularına nasıl girdiğine dair “tam teknik mekanizmanın” araştırıldığını belirtti, ancak saldırının nasıl gerçekleştiği ile ilgili bazı detaylar verdi.
Blog yazısında Ho, Notepad++’ın web sitesinin paylaşımlı bir sunucuda barındırıldığını ve saldırganların yazılımda bulunan bir açığı istismar ederek belirli kullanıcıları hackerların kontrolündeki kötü amaçlı bir sunucuya yönlendirmeyi hedeflediğini ifade etti. Bu durum, hackerların belirli kullanıcıların yazılım güncellemesi talep ettiği sırada kötü amaçlı güncellemeleri dağıtmalarına olanak tanıdı; ancak uygun yamanın Kasım ayında yapılmasının ardından ve hackerların erişiminin Aralık başında sonlandırılmasının ardından bu durum sona erdi.
Ho, “Kötü niyetli kişinin, düzeltme uygulandıktan sonra bir kez daha düzeltici bir açığı istismar etmeye çalıştığına dair kayıtlarımız var; ancak bu girişim başarılı olmadı,” diye yazdı.
Ho, TechCrunch’a gönderdiği bir e-postada, barındırma sağlayıcısının paylaşılan sunucusunun ele geçirildiğini doğruladığını ancak hackerların başlangıçta nasıl sızdığını belirtmediğini aktardı.
Ho, bu olay için özür diledi ve kullanıcıları yazılımının en son sürümünü indirmeye teşvik etti. Bu sürüm, ilgili açığın düzeltmesini içermektedir.
Notepad++ kullanıcılarını hedef alan bu siber saldırı, 2019-2020 yıllarında SolarWinds müşteri tabanını etkileyen siber saldırıyı anımsatmaktadır. SolarWinds, büyük Fortune 500 organizasyonlarına IT ve ağ yönetim araçları sağlayan bir yazılım şirketidir ve bu saldırı sonrasında Rus hükümeti casusları şirketin sunucularına girerek yazılımlarına arka kapı yerleştirmiştir. Böylece Rus casusları, güncellemelerin dağıtılmasının ardından bu müşterilerin ağlarındaki verilere erişim sağlamıştır.
SolarWinds ihlali, İç Güvenlik, Ticaret, Enerji, Adalet ve Dışişleri Bakanlıkları dahil olmak üzere çeşitli hükümet ajanslarını etkilemiştir.
Ho’dan gelen bir yanıt ve Rapid7’den ek bilgilerle güncellenmiştir.
