Перейти к основному разделу

Взлом проекта Notepad++, новые детали: эксперты Kaspersky GReAT обнаружили две ранее неизвестные цепочки заражения

3 февраля 2026 г.

C июля по сентябрь инфраструктура атакующих была совсем другой

Эксперты Kaspersky GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского») изучили кибератаку на цепочку поставок через компрометацию популярного у разработчиков редактора Notepad++. Атака длилась с июля по декабрь 2025 года и включала как минимум три различные цепочки заражения. Две из них оставались неизвестными до сих пор. Единственная публично задокументированная ранее цепочка заражения представляет собой лишь заключительную фазу гораздо более сложной и продолжительной кампании. 

До вчерашнего дня в публичных сообщениях об этих атаках речь шла исключительно о вредоносном ПО, обнаруженном в октябре 2025 года. Организации, где применялся редактор, могли не знать о других индикаторах компрометации (IoC), использовавшихся с июля по сентябрь, и, следовательно, пропустить более ранние признаки заражения. В атаке на Notepad++ злоумышленники каждый месяц полностью переписывали всю цепочку заражения, меняя вредоносные IP-адреса, домены и вредоносные нагрузки, чтобы оставаться незамеченными. 

В числе мишеней, по данным телеметрии «Лаборатории Касперского», — поставщики ИТ-услуг, госучреждения и финансовые организации в Австралии, Латинской Америке и Юго-Восточной Азии. Решения компании блокировали попытки атак.

«Тем, кто уже проверил свои системы по известным IoC и ничего не нашёл, не стоит думать, что угрозы нет. Мы обнаружили, что с июля по сентябрь инфраструктура атакующих была совсем другой: использовались другие IP-адреса, домены и хеши файлов. Поскольку злоумышленники часто меняли инструменты, нельзя исключать, что существуют и иные цепочки заражения, которые пока ещё не выявлены», — комментирует Георгий Кучерин, эксперт Kaspersky GReAT.

Защитные решения «Лаборатории Касперского», такие как Kaspersky Symphony, успешно выявляют используемое злоумышленниками вредоносное ПО.

С полным на сегодняшний день списком индикаторов компрометации (IoC), который включает шесть вредоносных хешей обновлений, 14 URL-адресов C2 и восемь вредоносных хешей файлов, о которых ранее не сообщалось, можно ознакомиться на Securelist.com.

Взлом проекта Notepad++, новые детали: эксперты Kaspersky GReAT обнаружили две ранее неизвестные цепочки заражения

C июля по сентябрь инфраструктура атакующих была совсем другой
Kaspersky logo

О «Лаборатории Касперского»

«Лаборатория Касперского» — международная компания, работающая в сфере информационной безопасности и цифровой приватности с 1997 года. На сегодняшний день компания защитила более 1 миллиарда устройств от массовых киберугроз и целенаправленных атак, а накопленные ей знания и опыт последовательно трансформируются в инновационные решения и услуги для защиты бизнеса, критически важной инфраструктуры, государственных органов и рядовых пользователей по всему миру. Обширное портфолио «Лаборатории Касперского» включает в себя комплексную защиту цифровой жизни и личных устройств, ряд специализированных продуктов и сервисов, а также кибериммунные решения для борьбы со сложными и постоянно эволюционирующими киберугрозами. Мы помогаем миллионам частных пользователей и почти 200 тысячам корпоративных клиентов во всём мире защищать самое ценное для них. Подробнее на www.kaspersky.ru.

Другие пресс-релизы