Negli ultimi mesi si è parlato parecchio di Notepad++, uno di quei software che molti è praticamente una costante. Proprio per questo ha fatto rumore la notizia dell’attacco informatico che lo ha coinvolto: una violazione lunga e soprattutto molto mirata. Gli sviluppatori del progetto, dopo settimane di indagini, hanno finalmente chiarito cosa sia successo davvero. Il punto chiave è che Notepad++ non è stato colpito direttamente. A finire sotto attacco è stato un vecchio provider di hosting utilizzato in passato per distribuire gli aggiornamenti software.
Una distinzione importante, certo, ma che non cambia la gravità dell’accaduto: tra giugno e dicembre 2025, alcuni server legati al sistema di update sono stati compromessi e sfruttati come canale per reindirizzare il traffico degli utenti. Non tutti, però. Ed è proprio tale dettaglio a rendere l’episodio particolarmente inquietante. Gli sviluppatori hanno, infatti, scoperto che gli aggressori non puntavano a una diffusione di massa. Al contrario, il traffico veniva deviato solo per un sottoinsieme molto specifico di utenti, selezionati con cura.
Notepad++: a chi era indirizzato davvero l’attacco hacker?
Un approccio del genere richiede tempo, risorse e competenze. È per questo che l’ipotesi più credibile è quella di un’operazione di spionaggio, condotta da gruppi legati e finanziati dal governo cinese. Tecnicamente parlando, l’accesso iniziale sarebbe avvenuto a livello infrastrutturale e sarebbe rimasto attivo fino a un intervento di manutenzione del provider il 2 settembre 2025. Anche dopo quel momento, però, gli attaccanti non hanno mollato la presa. Grazie a credenziali interne rimaste valide, sono riusciti a intercettare il traffico fino a dicembre. Ciò sfruttando uno script chiave del sistema di aggiornamento, getDownloadUrl.php. Alterandone le risposte, potevano indirizzare gli utenti verso versioni modificate del software, approfittando anche di controlli di sicurezza piuttosto deboli nelle versioni precedenti di Notepad++.
La risposta non si è fatta attendere. Il provider ha revocato e rigenerato tutte le credenziali interne. Mentre il team di Notepad++ ha spostato l’intera infrastruttura di update su un nuovo ambiente, progettato con criteri di sicurezza più stringenti. Già dalla versione 8.8.9 sono stati introdotti miglioramenti importanti al sistema WinGup, ma il vero salto di qualità arriverà con la 8.9.2. Quest’ultima, infatti, imporrà verifiche rigorose sulle firme digitali e sui certificati XMLDSig.
