كشف مطور محرر النصوص مفتوح المصدر (Notepad++)، المعروف باسم Don Ho، عن تعرض آلية التحديث الرسمية للبرنامج لعملية تلاعب معقدة، تقف وراءها جهة هجوم وصفها بأنها مدعومة من دولة. واعتمد الهجوم على اعتراض حركة التحديث وتحويلها إلى خوادم خبيثة، أدت إلى تنزيل ملفات تنفيذية ملوثة بدلاً من حزم التحديث الشرعية.
وجاء الإفصاح عن هذه الواقعة يوم الاثنين، 2 فبراير 2026، مع التأكيد على استمرار التحقيقات لتحديد المسار التقني الدقيق الذي سلكه المخترقون.
استهداف البنية التحتية
أوضح المطور أن الاختراق طال مستويات البنية التحتية ولم يستهدف الشيفرة المصدرية للبرنامج ذاته. ومكنت هذه التسوية المهاجمين من اعتراض حركة المرور المتجهة إلى نطاق المشروع وتحويلها، وهي واقعة ترتبط بمستضيف الخدمة أكثر من ارتباطها بوجود ثغرة أمنية داخل كود (Notepad++).
وتشير البيانات إلى أن النشاط الخبيث بدأ في يونيو 2025؛ إذ أفاد مزود الاستضافة السابق بأن الخادم المشترك ظل مخترقاً حتى 2 سبتمبر 2025. واحتفظ المهاجمون ببيانات اعتماد لخدمات داخلية حتى 2 ديسمبر 2025، وهو ما سمح باستمرار تحويل تحديثات البرنامج إلى الخوادم المعادية لفترة زمنية ممتدة.
استهداف انتقائي وأبعاد سياسية
وفقاً لبعض التقارير، فإن عملية تحويل مسار التحديثات تمت بصورة انتقائية، واستهدفت مستخدمين محددين فقط. ونسبت تقييمات أولية للباحث المستقل Kevin Beaumont هذا النشاط إلى جهات تهديد تعمل من الصين، ضمن سياق هجمات استهدفت مؤسسات ذات مصالح في شرق آسيا. ومع ذلك، لا تزال هذه الاستنتاجات ضمن تقديرات الخبراء، ولم تصدر الجهة المطورة حكماً نهائياً بهذا الشأن.
تقنياً، يعتمد محدث البرنامج المعروف باسم WinGUp عبر الملف (GUP.exe) على جلب رابط التنزيل من نقطة نهاية تعيد بيانات بصيغة (XML). وعند اعتراض الاتصال، استطاع المهاجمون تبديل الرابط داخل الوسم المخصص للموقع، لتتحول عملية التحديث إلى ملف خبيث مستضاف على خوادمهم.
إجراءات المعالجة والتدقيق الرقمي
استجابة لهذا التهديد، أطلق المشروع في 9 ديسمبر 2025 النسخة (Notepad++ v8.8.9)، التي تضمنت معالجة جذرية عبر فرض التحقق من الشهادة والتوقيع الرقمي لحزمة التحديث، مع إيقاف العملية تلقائياً في حال فشل التحقق. وكان المشروع قد أصدر سابقاً النسخة (v8.8.8) في 18 نوفمبر لتقييد مسار التحميل ليكون عبر منصة GitHub.
ورصد باحثون ومستخدمون قبل الإصلاح سلوكاً غير معتاد تمثل في تشغيل ملف تنفيذي باسم (AutoUpdater.exe) داخل مجلد الملفات المؤقتة، وتنفيذ أوامر استطلاع للنظام ثم محاولة رفع النتائج إلى خدمة مشاركة نصوص استخدمها مهاجمون في حملات خبيثة سابقة.
مخاطر سلسلة الإمداد
تصنف هذه الواقعة ضمن مخاطر سلسلة الإمداد البرمجية، حيث تستهدف قنوات الثقة التي يفترض المستخدم أنها محمية. وتبرز الحادثة ضرورة اعتماد معايير صارمة للتحقق من التواقيع الرقمية، والتعامل بحذر مع المحدثات الذاتية التي تفتقر إلى إجراءات أمنية معززة.
وينصح الخبراء بضرورة ترقية البرنامج إلى النسخة (v8.8.9) أو ما يليها عبر المصادر الرسمية حصراً، ومراجعة السياسات المؤسسية التي تسمح للمحدثات التلقائية بالاتصال بالإنترنت دون رقابة، مع مراقبة أي نشاط غير طبيعي في الملفات المؤقتة المرتبطة بعمليات التحديث.
