פריצה חמורה במנגנון העדכונים של Notepad++: האם המחשב שלכם בסכנה?

חדשות מדאיגות לקהילת המפתחים והמשתמשים של Notepad++: נחשף כי שרתי העדכונים של התוכנה הפופולרית נפרצו ושימשו להפצת קבצים זדוניים. בניגוד לפריצות "רגילות", כאן לא היה מדובר בחולשה בקוד של התוכנה עצמה, אלא במתקפת שרשרת אספקה (Supply Chain Attack) מתוחכמת שבה האקרים השתלטו על התשתית שמספקת לנו את העדכונים.

מה קרה ומה הסיכון למשתמשים?

על פי הדיווחים שנחשפו בתחילת פברואר 2026, קבוצת האקרים המזוהה עם סין (Lotus Blossom/APT31) הצליחה לפרוץ לספק האחסון של Notepad++ כבר ביוני 2025. הם ניצלו חולשה במנגנון העדכונים הישן (WinGUp) שהיה קיים בגרסאות 8.8.9 ומטה, וניתבו חלק מהמשתמשים להורדת עדכונים מזויפים.

הסיכון הוא משמעותי: הגרסאות הנגועות כללו דלת אחורית (Backdoor) בשם Chrysalis, המאפשרת להאקרים גישה מרחוק למחשב, גניבת מידע רגיש, והרצת פקודות מרחוק. התקיפה הייתה ממוקדת מאוד וכוונה בעיקר לארגונים גדולים, אך כל מי שעדכן את התוכנה דרך המנגנון האוטומטי בחודשים האחרונים עלול להיות חשוף.

הפריצה היא דוגמה קלאסית למה שנקרא Supply Chain Attack – התוקפים לא היו צריכים לפרוץ למחשב שלכם, הם פשוט "זיהמו" את המקור שאתם סומכים עליו.

למי שרוצה להעמיק בניתוח הטכני של הפריצה, ניתן לקרוא את הדו"ח המלא של חוקרי האבטחה ב-Securelist.

איך תבדקו אם המחשב שלכם חשוף?

הפריצה ניצלה את חוסר האימות של חתימות דיגיטליות בגרסאות הישנות. הנה כמה סימנים שיכולים להעיד על חשיפה:

  • בדיקת גרסה: אם אתם משתמשים בגרסה 8.8.9 ומטה, וביצעתם עדכון אוטומטי בין יוני לדצמבר 2025, רמת הסיכון שלכם עולה.
  • קבצים חשודים: חפשו בתיקיית הזמניים שלכם (%TEMP%) קובץ בשם update.exe או AutoUpdater.exe. שימו לב: מנגנון העדכון המקורי של Notepad++ לא משתמש בשמות הללו.
  • תהליכים מוזרים: פתחו את מנהל המשימות ובדקו אם התהליך gup.exe (המעדכן של Notepad++) מפעיל תהליכים לא קשורים כמו curl.exe או פקודות מערכת (cmd.exe).
  • קובץ אבחון: הימצאות של קובץ בשם a.txt בתיקיות המערכת עשויה להעיד על פעילות איסוף מידע שהתבצעה על ידי הרוגלה.

איך מתגוננים ומה עושים עכשיו?

מפתח התוכנה, Don Ho, כבר העביר את האתר לשרתים מאובטחים יותר והוציא גרסאות מתוקנות. כדי לוודא שאתם בטוחים:

  1. אל תסתמכו על העדכון האוטומטי הישן: מחקו את גרסת ה-Notepad++ שברשותכם.
  2. התקנה ידנית בלבד: היכנסו לאתר הרשמי (notepad-plus-plus.org) והורידו ידנית את גרסה 8.9.1 (או גרסה חדשה יותר). גרסאות אלו כוללות אימות מחמיר של חתימות דיגיטליות ואישורים.
  3. סריקת וירוסים: הריצו סריקה מלאה של מערכת ההפעלה עם אנטי-וירוס מעודכן כדי לוודא שלא נשארו שאריות מהדלת האחורית.
הפריצה ל-Notepad++: האם המחשב שלכם בסכנה?

הגרסה החדשה (8.9.1) היא קריטית כי היא אוכפת בדיקת חתימה דיגיטלית על כל קובץ שהיא מורידה, מה שמונע מהתקפה כזו לחזור על עצמה בעתיד.

הקפידו תמיד להוריד תוכנות מהמקור הרשמי ובדקו את חתימת הקובץ במידת האפשר. שתפו את הפוסט כדי שגם החברים שלכם לא ייפגעו!

לעוד מידע

באתר של Notepad++ פורסמו שתי רשומות בנושא:

Notepad++ Hijacked by State-Sponsored Hackers

Important Clarification: Notepad++ Security Incident

אל תפספסו פוסטים חדשים!

לפוסט הזה יש 2 תגובות

  1. זוהר

    בהנחה שהגרסה שלי לא עדכנית אבל גם נגועה, אם אני מוריד את הגרסה הבטוחה מהאתר, האם אני חייב להסיר את הגרסה הקיימת לפני ההתקנה?
    או שמספיק לעדכן ע"י התקנת הגרסה האחרונה?

    1. דוד ארוון

      זה יהיה הרבה יותר בטוח שתסיר קודם את הגרסה הנגועה ואחר כך תתקין צבורה נקיה את הגרסה החדשה.

כתיבת תגובה