Red Hot Cyber Logo
Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Select language
Home
UtiliaCS 970x120
Banner Ransomfeed
Notepad++ è stato compromesso: cosa sappiamo dell’incidente informatico

Notepad++ è stato compromesso: cosa sappiamo dell’incidente informatico

2 Febbraio 2026 10:45

Notepad++ ha recentemente subito un grave attacco informatico, rivelato dopo la pubblicazione della versione 8.8.9.

L’indagine è stata condotta con esperti esterni e con il pieno coinvolgimento dell’ex provider di hosting condiviso. L’evento ha evidenziato come anche software consolidati possano diventare bersaglio di campagne sofisticate.

Analisi dell’attacco

Secondo gli esperti di sicurezza, l’intrusione ha coinvolto una compromissione a livello infrastrutturale. Gli aggressori sono riusciti a intercettare e reindirizzare il traffico degli aggiornamenti destinati a notepad-plus-plus.org. La falla non riguardava il codice di Notepad++ in sé, ma il server dell’hosting. Alcuni utenti mirati hanno ricevuto manifest di aggiornamento malevoli dai server controllati dagli attaccanti.

L’attacco ha avuto inizio nel giugno 2025. Più ricercatori indipendenti hanno identificato come probabile responsabile un gruppo cinese sponsorizzato dallo stato, spiegando così il targeting estremamente selettivo osservato durante la campagna.

Risposta e interventi

Un piano di risposta agli incidenti è stato proposto dagli esperti, e la comunicazione tra il provider e il team IR è stata facilitata dall’autore dell’annuncio. Dopo la revisione, il provider ha confermato che il server compromesso è stato utilizzato fino al 2 settembre 2025. Durante la manutenzione programmata il kernel e il firmware sono stati aggiornati, bloccando definitivamente l’accesso degli attaccanti.

Dear Customer,
We want to further update you following the previous communication with us about your server compromise and further investigation with your incident response team.
We discovered the suspicious events in our logs, which indicate that the server (where your application https://notepad-plus-plus.org/update/getDownloadUrl.php was hosted until the 1st of December, 2025) could have been compromised.
As a precautionary measure, we immediately transferred all clients’ web hosting subscriptions from this server to a new server and continued our further investigation.
Here are the key finding points:
1. The shared hosting server in question was compromised until the 2nd of September, 2025. On this particular date, the server had scheduled maintenance where the kernel and firmware were updated. After this date, we could not identify any similar patterns in logs, and this indicates that bad actors have lost access to the server. We also find no evidence of similar patterns on any other shared hosting servers.
2. Even though the bad actors have lost access to the server from the 2nd of September, 2025, they maintained the credentials of our internal services existing on that server until the 2nd of December, which could have allowed the malicious actors to redirect some of the traffic going to https://notepad-plus-plus.org/getDownloadUrl.php to their own servers and return the updates download URL with compromised updates.
3. Based on our logs, we see no other clients hosted on this particular server being targeted. The bad actors specifically searched for https://notepad-plus-plus.org/ domain with the goal to intercept the traffic to your website, as they might know the then-existing Notepad++ vulnerabilities related to insufficient update verification controls.
4. After concluding our research, the investigated security findings were no longer observed in the web hosting systems from the 2nd of December, 2025, and onwards, as:
* We have fixed vulnerabilities, which could have been used to target Notepad++. In particular, we do have logs indicating that the bad actor tried to re-exploit one of the fixed vulnerabilities; however, the attempt did not succeed after the fix was implemented.
* We have rotated all the credentials that bad actors could have obtained until the 2nd of September, 2025.
* We have checked the logs for similar patterns in all web hosting servers and couldn’t find any evidence of systems being compromised, exploited in a similar way, or data breached.
While we have rotated all the secrets on our end, below you will find the preventive actions you should take to maximize your security. However, if below actions have been done after the 2nd of December, 2025, no actions are needed from your side.
* Change credentials for SSH, FTP/SFTP, and MySQL database.
* Review administrator accounts for your WordPress sites (if you have any), change their passwords, and remove unnecessary users.
* Update your WordPress sites (if you have any) plugins, themes, and core version, and turn on automatic updates, if applicable.
We appreciate your cooperation and understanding. Please let us know in case you have any questions.

Anche dopo aver perso l’accesso, gli hacker hanno mantenuto credenziali interne fino al 2 dicembre 2025. Questo ha permesso loro di continuare a reindirizzare il traffico verso server malevoli e manipolare gli aggiornamenti di Notepad++. Non sono stati riscontrati altri clienti del provider coinvolti nell’attacco.

Azioni preventive e mitigazioni

Il provider ha implementato una serie di misure correttive: rotazione di tutte le credenziali compromesse, verifica dei log su tutti i server e correzione di vulnerabilità legate al controllo degli aggiornamenti. Gli utenti sono stati invitati a cambiare password di SSH, FTP/SFTP e database, aggiornare WordPress e plugin, e verificare gli account amministratore.

La timeline dell’attacco indica che le attività degli hacker sono cessate ufficialmente tra il 10 novembre e il 2 dicembre 2025, momento in cui l’accesso è stato completamente terminato. L’intervallo complessivo di compromissione copre quindi sei mesi, da giugno a dicembre 2025.

Il sito di Notepad++ è stato migrato a un nuovo hosting con standard di sicurezza più elevati. L’updater WinGup è stato migliorato in v8.8.9 per verificare certificati e firme digitali dei file scaricati, mentre la firma XML (XMLDSig) sarà obbligatoria dalla v8.9.2.

Il provider Notepad++ ha confermato che tutte le misure di mitigazione sono state completate con successo, garantendo la sicurezza futura del software.

Questo episodio evidenzia quanto sia cruciale non solo la sicurezza del codice, ma anche la protezione dell’infrastruttura di hosting. La resilienza digitale richiede attenzione costante e aggiornamenti mirati, anche per software largamente consolidati.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

1744358477148 300x300
Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.
Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research

Articoli in evidenza

Immagine del sitoCyber News
BETTI RHC: il fumetto che educa alla cybersecurity. Esce il 4 e 5 episodio
Andrea Gioia Lomoro - 02/02/2026

BETTI RHC è un progetto editoriale e culturale ideato da Red Hot Cyber, realtà italiana punto di riferimento nel panorama della cybersecurity e della divulgazione tecnologica. Non si tratta di un semplice fumetto, ma di…

Immagine del sitoCyber News
E se domani gli USA spegnessero il cloud?  L’UE non ha un piano e legifera pensando poco
Marcello Filacchioni - 02/02/2026

Mentre il cloud è diventato il cuore dell’economia digitale, l’Unione europea si trova davanti a una scelta storica: trasformare la certificazione cloud in uno strumento di sovranità o limitarsi ad un semplice controllo tecnico. Il…

Immagine del sitoVulnerabilità
Vulnhalla: come scovare bug 0day utilizzando l’Intelligenza Artificiale Generativa
Massimiliano Brolli - 02/02/2026

È il nuovo fuzzing del futuro? Con ogni probabilità sarà un approccio combinato multi agente, dove le AI assieme al bug hunter saranno in grado di ridurre drasticamente i tempi di individuazione dei bug 0-day.…

Immagine del sitoInnovazione
Moltbook, il Reddit dei Robot: Agenti AI discutono della loro civiltà (mentre noi li spiamo)
Silvia Felici - 01/02/2026

Venerdì è emersa online una notizia capace di strappare un sorriso e, subito dopo, generare un certo disagio: il lancio di Moltbook, un social network popolato non da persone ma da agenti di intelligenza artificiale.…

Immagine del sitoCyber News
Addio a NTLM! Microsoft verso una nuova era di autenticazione con kerberos
Silvia Felici - 31/01/2026

Per oltre tre decenni è stato una colonna silenziosa dell’ecosistema Windows. Ora però il tempo di NTLM sembra definitivamente scaduto. Microsoft ha deciso di avviare una transizione profonda che segna la fine di un’era e…