Notepad++ güncellemeleri ele geçirildi: Çin bağlantılı hackerların aylardır kötü amaçlı yazılım dağıttığı doğrulandı

Notepad++ geliştiricisi, popüler açık kaynak metin editörünün güncelleme mekanizmasının ele geçirilmesi sonucu bazı kullanıcılara kötü amaçlı yazılımlar dağıtıldığını doğruladı. Güvenlik analizleri, saldırının Çin bağlantılı olduğu yönünde bulgular ortaya koyuyor.

Olayın özeti

Geliştirici tarafından yapılan açıklamaya göre, saldırı Haziran–Aralık 2025 döneminde gerçekleşti. Saldırının ayrıntılarını inceleyen güvenlik uzmanları, kampanyanın hedeflemeye özgü ve seçici olduğunu; bunun da saldırının arkasında devlet bağlantılı aktörler olabileceğini gösterdiğini belirtiyor. Hedeflenen ya da etkilenen kullanıcı sayısı hakkında net bir rakam paylaşılmadı.

Nasıl gerçekleşti?

Araştırma ve geliştirici açıklamalarına göre, Notepad++ sitesinin barındırıldığı paylaşımlı sunucu üzerinde yer alan bir yazılım açığı kullanıldı. Saldırganlar, bazı kullanıcılardan gelen güncelleme isteklerini kötü niyetli bir sunucuya yönlendirerek hedefli şekilde zararlı güncellemeler dağıttı. Söz konusu güvenlik açığı kasım ayında giderildi ve saldırganların erişimi Aralık başında sonlandırıldı. Loglar, açığın kapatılmasından sonra yeniden suistimal girişiminin başarısız kaldığını gösteriyor.

Hedefleme ve etkiler

Güvenlik araştırmacıları, kampanyanın az sayıda ancak seçilmiş kurum ve kuruluşları hedeflediğini; özellikle Doğu Asya ile ilgisi olan kuruluşların etkilendiğini belirtiyor. Hijacked (ele geçirilmiş) sürümleri çalıştıran makinelerde saldırganların “hands-on” erişim elde ettiği, yani doğrudan kurban makinelerine erişebilme imkânı buldukları rapor edildi.

Kullanıcılar için öneriler

• Hemen en güncel Notepad++ sürümünü edinin veya mevcut kurulumunuzu güncelleyin.
• Yazılımı indirirken mümkünse resmi kaynaklardan ve doğrulanmış dosya bütünlüğü (checksum/dijital imza) kontrolleriyle hareket edin.
• Bilgisayarınızda antivirüs/tarama araçları ile tam bir tarama yapın; şüpheli etkinlik tespit edilirse sistemi izole edin.
• Ele geçirildiğinden şüphelenilen makineler için çekirdek şifreleri ve erişim anahtarlarını değiştirin; gerekirse sistemi temiz bir ortamdan yeniden kurun.
• Kurumsal ortamlarda izinsiz erişi tespiti için logları inceleyin ve tehdit istihbaratı ile koordinasyon sağlayın.

Benzer saldırılar

Bu tip tedarik zinciri saldırıları daha önce de görülmüştü; örneğin 2019–2020 döneminde bir yazılım tedarikçisi hedef alınarak arka kapı yerleştirilen olay, birçok devlet kurumunu ve büyük kuruluşu etkiledi. Notepad++ vakası, yazılım güncelleme mekanizmalarının tedarik zinciri güvenliği açısından ne kadar kritik olduğunu bir kez daha gösteriyor.

Geliştirici yapılan açıklamada kullanıcılar için özür diledi ve sorunun düzeltilmiş sürüme yükseltilmesini tavsiye etti. Kullanıcıların dikkatli olması, güncellemeleri doğrulamadan kurmaması ve şüpheli durumları ilgili güvenlik ekiplerine bildirmesi önem taşıyor.