Notepad++ update incident

Ažuriranje kao vektor napada

Notepad++ update incident

Notepad++ je alat koji mnogi IT administratori i programeri koriste godinama. Jednostavan, pouzdan, open-source. Notepad++ update incident pokazuje neprijatnu realnost savremene sajber bezbednosti: čak i kada korisnik radi sve „po pravilima“, rizik i dalje postoji.

Šta se desilo?

Tokom 2025. godine kompromitovan je deo infrastrukture zadužen za isporuku ažuriranja za Notepad++. Nije bilo propusta u samoj aplikaciji, niti u njenom izvornom kodu. Napad je izveden kroz update mehanizam, mesto kojem većina nas implicitno veruje.

To znači da korisnik nije:

  • instalirao sumnjiv softver
  • kliktao po phishing linkovima
  • gasio zaštitu
  • radio išta očigledno pogrešno

Ažuriranje je došlo putem legitimnog procesa, ali u određenim slučajevima sa zlonamernim sadržajem.

Kako je napad funkcionisao

Napadači su dobili pristup serverima koji su učestvovali u proveri i distribuciji update-a. Kada bi aplikacija proveravala da li postoji nova verzija, u određenim slučajevima korisnik je dobijao zlonamerni instalacioni fajl umesto legitimnog.

Važno je naglasiti još jednu stvar: napad nije bio masovan. Bio je selektivan i ciljan, što je dodatno smanjilo šanse da se incident brzo primeti.

Zašto je ovaj vektor posebno opasan?

Standardni alati postali su jedan od najčešćih vektora upada, odmah posle emaila.

Update mehanizmi, integracije i alati koji se svakodnevno koriste često prolaze „ispod radara“, upravo zato što su poznati i provereni. Supply chain napadi tu imaju ogromnu prednost, jer ne zahtevaju socijalni inženjering, niti grešku krajnjeg korisnika.

Kod Notepad++ problem je dodatno osetljiv jer ga često koriste sistem administratori, programeri i tehnički korisnici sa proširenim privilegijama. Osim toga, takvi alati se retko centralno upravljaju, prate ili kontrolišu u okviru organizacije.

Neprijatna istina za IT profesionalce

Još jedna važna poruka koja se provlači kroz ovaj incident je psihološka. Čak ni iskusni IT stručnjaci nisu imuni na razmišljanje „ne može to meni da se desi“.

Osim toga nemoguće je biti baš toliko na oprezu. Realno, koliko nas:

  • proverava validnost svakog update-a
  • ručno upoređuje hash vrednosti preuzetih fajlova
  • proverava odakle je tačno update stigao

U praksi, gotovo niko. Ne zato što ne znamo kako, već zato što to nije realno izvodljivo za svaki alat koji svakodnevno koristimo.

Kako se ovakvi napadi uopšte mogu primetiti?

Ono što dodatno komplikuje situaciju jeste činjenica da klasične kontrole ovde često nisu dovoljne. Jedini realan način da se ovakav incident detektuje jeste kroz EDR ili XDR rešenja koja prepoznaju neuobičajeno ponašanje procesa ili sandbox okruženja koja analiziraju šta se zaista izvršava u pozadini.

Problem? Ovakva rešenja su često finansijski i operativno nedostupna manjim i srednjim firmama.

Rešenje i preporuke

Notepad++ je rešio problem prelaskom na novog hosting provajdera i pojačanjem bezbednosti u verziji 8.8.9 (decembar 2025.), koja proverava digitalne potpise i sertifikate pre instalacije.

Korisnicima se preporučuje ručno ažuriranje na najnoviju verziju sa zvaničnog sajta i uklanjanje starih custom sertifikata.

Ako je organizacija koristila ranije verzije u periodu juna–decembra 2025, preporučuje se pregled sistema radi mogućih kompromitovanja i praćenje neuobičajenog ponašanja ažuriranja.