אזהרה אדומה למתכנתים: שרתי העדכון של Notepad++ נחטפו על ידי האקרים סינים!

מכה קשה לקהילת המפתחים העולמית, עורך הקוד הפופולרי והאהוב Notepad++ הפך לכלי נשק בידי האקרים בחסות ממשלת סין.

על פי הדיווח, קבוצת תקיפה מתוחכמת הצליחה להשתלט על שרתי העדכונים הרשמיים של התוכנה ולהפיץ גרסה נגועה לנוזקה לאלפי משתמשים תמימים.

הנקמה הסינית: למה דווקא Notepad++?

זו אינה הפעם הראשונה שהתוכנה נמצאת על הכוונת של האקרים מסין. המפתח של Notepad++, דון הו (Don Ho), ידוע בעמדותיו הנחרצות נגד המשטר הסיני ובשחרור גרסאות מחאה כמו "Free Uyghur" ו-"Stand With Hong Kong". נראה כי הפעם, ההאקרים החליטו לעלות שלב. במקום מתקפות DDoS שנועדו להפיל את האתר, הם ביצעו מתקפת שרשרת אספקה (Supply Chain Attack). הם פרצו לשרתים האחראים על מנגנון העדכון האוטומטי (Auto-Updater) והחליפו את קובץ ההתקנה הלגיטימי בקובץ המכיל סוס טרויאני.

מה מסתתר בתוך העדכון המזויף?

משתמשים שאישרו את עדכון התוכנה 8.8.9 (פברואר 2026) הכניסו למעשה למחשב שלהם דלת אחורית מסוכנת.

הנוזקה שהושתלה מאפשרת לתוקפים:

• גניבת קוד מקור: גישה לפרויקטים רגישים עליהם המפתחים עובדים.
• גישה מרחוק (RAT): שליטה מלאה על המחשב, כולל הפעלת מצלמה ומיקרופון.
• התפשטות ברשת הארגונית: שימוש במחשב המפתח כקרש קפיצה לתקיפת שרתים פנימיים בחברה בה הוא עובד.

טיימליין

1. יוני 2025: הפרצה הראשונה והחדירה השקטה
   • הכל התחיל ביוני 2025. התוקפים הצליחו לחדור לספק האחסון השיתופי (Shared Hosting) שבו התארח האתר הרשמי notepad-plus-plus.org. זו הייתה פריצה שקטה – במקום להפיל את האתר, ההאקרים העדיפו להישאר מתחת לרדאר ולהשיג גישה מלאה לשרת שמפיץ את עדכוני התוכנה למיליוני משתמשים.
2. יולי עד אוקטובר 2025: משחקי חתול ועכבר
   • במהלך חודשים אלו, התוקפים הפגינו רמה גבוהה של תחכום. הם החליפו את תשתיות השליטה והבקרה (C2) ואת הקבצים הזדוניים (Payloads) מדי חודש. המטרה? להתחמק ממנגנוני זיהוי של חברות אנטי-וירוס.
   • ב-2 בספטמבר 2025, נראה היה שהמזל משחק לטובת המפתחים: ספק האחסון ביצע תחזוקה שוטפת ועדכוני קושחה (Firmware) שגרמו לתוקפים לאבד גישה ישירה לשרת. אלא שהתוקפים כבר היו צעד אחד קדימה – הם שמרו אצלם פרטי גישה והרשאות לשירותים פנימיים שנגנבו קודם לכן, מה שאיפשר להם להמשיך לפעול.
3. אוקטובר 2025: חוקר הסייבר חושף את האמת
   • התפנית בעלילה הגיעה באוקטובר 2025. קווין בומונט (Kevin Beaumont), חוקר אבטחה מוערך, זיהה פעילות חשודה שמקורה בתהליכים של Notepad++. הדיווח שלו הדליק נורות אדומות בקהילה, אך נדרש זמן נוסף כדי להבין את עומק החדירה ולעצור אותה לחלוטין.
4. דצמבר 2025 עד פברואר 2026: הסוף והחשיפה
   • רק ב-2 בדצמבר 2025 הופסקה הפעילות הזדונית באופן סופי. ספק האחסון ביצע "ניקוי אורוות" שכלל החלפת כל פרטי הגישה ותיקון חורי האבטחה בשרתים.

במשך חודשיים נוספים נשמר שקט תעשייתי בזמן שהתבצע תחקיר מקיף, עד שב-2 בפברואר 2026, דון הו שחרר את הגילוי הרשמי (Disclosure). ההודעה אישרה את מה שרבים פחדו ממנו: כלי עבודה בסיסי של מפתחים שימש כסוס טרויאני במשך חודשים ארוכים.

מה עליכם לעשות עכשיו?

ההמלצות המיידיות של מומחי האבטחה:

• עדכון גירסה: בצעו עדכון ידני מהאתר הרישמי לגרסה 8.9.1.
• הסרה ובדיקה: אם עדכנתם בעדכון אוטומטי, הסירו את התוכנה מייד ובצעו סריקה מלאה עם אנטי-וירוס ו-EDR מעודכן.