Notepad++, devlet destekli hackerlar tarafından ele geçirildi

 (notepad-plus-plus.org)
2 puan yazan GN⁺ 2026-02-03 | 1 yorum | WhatsApp'ta paylaş
  • Notepad++ resmi web sitesinin güncelleme trafiğinin saldırgan sunucularına yönlendirildiği bir güvenlik ihlali yaşandı
  • Saldırı, hosting sağlayıcısının altyapı seviyesinde ihlal edilmesi yoluyla gerçekleştirildi; bu, Notepad++ kodunun kendisindeki bir açık değildi
  • Saldırı 2025 Haziran ayından 2 Aralık'a kadar sürdü ve birçok güvenlik araştırmacısı bunu Çin hükümeti destekli bir hack grubuna atfediyor
  • Saldırganlar, güncelleme doğrulama süreci yetersiz olan eski Notepad++ sürümlerini hedef alarak kötü amaçlı güncellemeler dağıttı
  • Sonrasında web sitesinin taşınması, sertifika ve imza doğrulamasının güçlendirilmesi, XML imzasının devreye alınması gibi adımlarla güvenlik artırıldı

Olayın özeti

  • Güvenlik duyurusunun (v8.8.9 yayını) ardından dış uzmanlar ve önceki hosting sağlayıcısıyla iş birliği içinde soruşturma yürütüldü
  • Analiz sonucunda saldırganların, notepad-plus-plus.org'a yönelen güncelleme trafiğini ele geçirip yeniden yönlendirebilecekleri altyapı seviyesinde bir ihlal gerçekleştirdiği belirlendi
  • İhlal, Notepad++ kodunda değil, hosting sağlayıcısının sunucularında meydana geldi
  • Yalnızca belirli kullanıcıların trafiği seçici biçimde saldırgan sunucularına yönlendirilerek kötü amaçlı güncelleme manifestosu sunuldu

Saldırının zamanı ve arka planı

  • Saldırı 2025 Haziran ayında başladı
  • Birden fazla bağımsız güvenlik araştırmacısı bunun Çin hükümeti destekli bir hack grubu olduğunu değerlendiriyor
  • Saldırının son derece sınırlı ve seçici biçimde yürütülmesi dikkat çekiyor

Hosting sağlayıcısının soruşturma sonuçları

  • Sağlayıcı, sunucunun 2 Eylül 2025'e kadar ihlal edilmiş olduğunu doğruladı
    • Bu tarihte kernel ve firmware güncellemeleri yapıldı; sonrasında loglarda benzer örüntüler kayboldu
  • Saldırganlar, 2 Aralık'a kadar dahili servis kimlik bilgilerini koruyarak trafiğin bir kısmını yönlendirebildi
  • Log analizi, başka müşterilerin hedef alınmadığını ve yalnızca Notepad++ alan adının hedefte olduğunu gösterdi
  • 2 Aralık sonrasında
    • Açığın kapatılması ve kimlik bilgilerinin değiştirilmesi tamamlandı
    • Başka sunucularda benzer ihlal izine rastlanmadı
  • Müşterilere SSH, FTP/SFTP, MySQL parolalarını değiştirmeleri ve WordPress yönetici hesaplarını kontrol etmeleri önerildi

Özet (TL;DR)

  • Paylaşımlı hosting sunucusu 2 Eylül 2025'e kadar ihlal edildi, sonrasında saldırganlar 2 Aralık'a kadar dahili kimlik bilgilerini korudu
  • Saldırganlar, Notepad++ güncelleme doğrulama zafiyetini kötüye kullanarak kötü amaçlı güncellemeler dağıttı
  • 2 Aralık sonrası tüm güvenlik güçlendirme adımları tamamlandı, ek saldırılar engellendi

Müdahale ve güvenlik güçlendirmeleri

  • Notepad++ web sitesi, güvenlik seviyesi daha yüksek yeni bir hosting sağlayıcısına taşındı
  • Notepad++ dahili güncelleme aracı WinGup, v8.8.9'dan itibaren
    • İndirilen kurulum dosyaları için sertifika ve imza doğrulama özelliği ekledi
    • Güncelleme sunucusunun XML yanıtlarına XMLDSig imzası uyguladı
    • v8.9.2'den itibaren sertifika ve imza doğrulamasının zorunlu olarak uygulanması planlanıyor
  • Kullanıcılara v8.9.1 sürümünü manuel olarak kurmaları öneriliyor

Ek bilgiler ve soruşturmanın sınırları

  • Uzlaşma Göstergeleri (Indicator of Compromise, IoC) elde edilemedi
    • Yaklaşık 400GB sunucu logu analiz edildi ancak binary hash, alan adı, IP gibi somut IoC'ler bulunamadı
    • Hosting sağlayıcısından da IoC talep edildi ancak paylaşılmadı
  • Rapid7'den Ivan Feigl ayrı bir soruşturmanın sonuçlarını paylaştı ve daha somut IoC'lere sahip olduğunu belirtti

Sonuç

  • Saldırı, hosting altyapısının ihlali yoluyla hedefli güncelleme manipülasyonu biçiminde gerçekleşti
  • Güvenlik güçlendirmeleri ve sunucu taşınmasıyla sorun çözülmüş durumda
  • Notepad++, gelecekte benzer saldırıları önlemek için güncelleme doğrulama mekanizmasını güçlendirmeyi sürdürüyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-02-03
Hacker News görüşleri

  • Bir programın gerçekten ihtiyacı yoksa internet erişimini engelleme gibi bir güvenlik duvarı alışkanlığı sayesinde bu tür sorunlara karşı oldukça güvende olduğumu düşünüyorum
    Bir metin editörünün internete erişmesi için hiçbir neden yok
    Güncellemeleri yalnızca winget ile yapıyorum ve kurulum dosyalarını çoğunlukla GitHub'dan alıyorum. Paket değişikliklerinin yalnızca PR üzerinden mümkün olduğunu biliyorum. Kusursuz değil ama oldukça güveniyorum

    • Güncelleme kontrolü veya eklenti indirme gibi durumlarda istisna olarak internet erişimi gerektiğini düşünüyorum
    • macOS'ta Little Snitch çok kullanışlı. Hangi IP veya alana bağlanıldığını anında gösteriyor; izin verme, engelleme ve kural oluşturma işlemlerini kolayca yapabiliyorsunuz
    • Hangi güvenlik duvarı yazılımını kullandığını merak ediyorum. Ben de artık güvenlik duvarı kullanmam gerektiğini düşünmeye başladım

  • Güncellemeyi ertelediğim için hâlâ 8.5.8 sürümünü kullanıyorum; sonuç olarak daha güvenli bir durumda mı oldum diye düşünüyorum
    Kötü amaçlı güncellemeyi alanların başına gerçekte ne geldiğine dair daha somut bilgi olmasını isterdim
    Yüklü Notepad++ dosyalarının checksum değerini doğrulayacak bir araç faydalı olurdu
    Ayrıca duyuruda çok fazla yazım hatası var; bu yüzden bunu gerçekten devlet destekli korsanların yazıp yazmadığından da şüpheleniyorum. Yeni sürümün kendisi kötü amaçlı olamaz mı?

    • Üniversitedeyken hocaların hatalı ödevler verdiği günleri hatırlattı. Bu yüzden ben hep başkalarının önce denemesini, sorun olmadığını söylemesini beklerdim
      Arkadaşların güncellemeleri önce test edip sonucu paylaştığı bir web of trust sistemi olsa güzel olurdu
    • En yeni sürümün her zaman daha güvenli olduğunu düşünmüyorum. Bilinen bir açık yoksa, eski sürüm bazen daha istikrarlı olabiliyor
    • Notepad++ resmî sitesine göre olay 2025 Haziran'ında başlamış
      8.8.1 ve altı sürümlerin güvenli olduğu söyleniyor. GitHub'da her sürüm için SHA256 checksum yayımlanmış
    • Eski sürüm her zaman kötü değildir. Güncellemeler kaliteyi düşürebilir
      Otomatik güncellemeyi açmaktan ziyade kodu doğrudan gözden geçirmek daha önemli
    • İnternete doğrudan bağlı olmayan uygulamalarda (e-posta, tarayıcı, OS vb. hariç) otomatik güncellemeyi kapalı tutuyorum
      Rastgele bir uygulamanın kötü amaçlı bir güncellemeyle enfekte olma ihtimalinin çok daha yüksek olduğunu düşünüyorum. Sadece ara sıra elle güncelliyorum

  • Chocolatey kullandığım için bu saldırıdan kurtuldum
    Bakımcı SHA256 checksum değerini sabit kodlamış ve WinGuP'u hiç kullanmıyor

  • Böyle durumlarda paket yöneticilerinin avantajı ortaya çıkıyor
    Güncelleme sunucusunun ne kadar güvenli olduğunu veya checksum doğrulamasının yapılıp yapılmadığını bilemediğim için yerleşik güncelleme özelliğine güvenmiyorum
    Onun yerine choco update notepadplusplus ya da winget upgrade Notepad++.Notepad++ ile yönetiyorum

  • Muhtemelen bu olay Notepad++'ın Tayvan ile ilgili duyurusuyla bağlantılı

    • Notepad++ uzun zamandır güncellemelere siyasi mesajlar ekliyor. Tayvan, Ukrayna gibi konularda tavır aldığı oldu
    • Daha önce Free Uyghur Edition da vardı. O zaman GitHub issue'larının Çince mesajlarla dolduğunu hatırlıyorum
    • Bu saldırı geliştiriciyi değil, belirli bir kullanıcı grubunu hedef almış gibi görünüyor
    • Açık kaynak proje belgelerine siyasi tartışma eklemenin uygun olmadığını düşünüyorum. Yazarın özgürlüğü olabilir ama projeye zarar da verebilir
    • Çin ana karasının Tayvan'ı zorla birleştirmeye çalışma tavrının sorunlu olduğunu düşünüyorum
      Ama yazılımın siyasetten ayrı kalması gerektiğini düşünüyorum. Siyasi hedeflere katılsanız bile bunu koda karıştırmak gereksiz

  • Küçük ekiplerin bakımını yaptığı genel amaçlı araçlar her zaman endişe veriyor
    Kurulumların sadece bir kısmı bile hack'lense, tedarik zinciri saldırısı yüzünden sayısız şirket risk altına girebilir

    • macOS kullanıcısıysanız Little Snitch'i mutlaka kullanmanız gerektiğini düşünüyorum
      Trafiği doğrudan Wireshark veya Burp Suite gibi araçlarla da analiz edebilirsiniz
      Bu tür güvenlik duvarları Windows veya Linux'ta da mümkün
    • Otomatik güncelleme özelliği güvenlik açısından kaygı verici. Bunu düzgün uygulamak ciddi mühendislik çabası gerektiriyor, çoğu şirket de bunu yapmıyor
    • Büyük şirketler de bu tür saldırılara karşı bağışık değil. Dikkatsiz davranırlarsa aynı şekilde vurulurlar

  • Belirli kullanıcıların trafiği saldırgan sunuculara yönlendirilerek kötü amaçlı güncelleme manifestosu aldıkları söyleniyor
    Hangi kullanıcıların hedef alındığını merak ediyorum ama yazıda yalnızca Çin devleti destekli korsanlardan şüphelenildiği belirtiliyor

    • Muhtemelen üniversite, şirket ve devlet kurumlarının IP'leri başlıca hedefti
    • Bazı eski Notepad++ sürümlerinin güncelleme doğrulama süreci yetersizdi, bu yüzden yalnızca belirli kullanıcılar savunmasız kalmış olabilir
    • Sunucuyu kimin hack'lediğini bilmiyoruz. Sonuçta “devlet aktörü” denince kimse doğrulamıyor

  • Hedef sistemlerin gerçekte nasıl ihlâl edildiğini merak ediyorum

    • Ayrıntılar Heise makalesinde ve DoublePulsar analizinde var
      8.8.7 öncesi sürümler kendinden imzalı sertifika kullanıyordu ve o anahtar GitHub'da açığa çıkmıştı
      Saldırı, Asya bölgesindeki yalnızca bazı kullanıcıları hedef alan elle yürütülen bir sızma saldırısıydı
      Sadece barındırma sağlayıcısını suçlamak yerine geliştiricinin de sorumluluğu olduğunu düşünüyorum
    • Tedarik zinciri saldırıları gerçekten korkutucu. Ben de Notepad++ içinde sık sık hassas dosyalar açıyorum; acaba bir şey sızdı mı diye endişeleniyorum
    • Büyük ihtimalle güncelleme üzerinden arka kapı yerleştirip gözetim veya veri hırsızlığı yapmaya çalıştılar
    • Hâlâ kimlerin hedef alındığı net değil. Resmî açıklama fazla muğlak

  • Sonunda geriye “Peki ben Notepad++ ile ne yapmalıyım?” sorusu kalıyor

    • Paket yöneticisi kullandıysanız bu saldırıdan etkilenmemiş olma ihtimaliniz yüksek. Yine de kurulum dosyasının kendisi enfekteyse risk devam eder
    • Alternatif olarak KDE'nin Kate editörünü öneririm. Chocolatey ile kurulabiliyor
    • Kişisel olarak Gedit'in de hak ettiği değeri görmeyen iyi bir seçenek olduğunu düşünüyorum

  • Yeni bir yazılım kurar kurmaz güncelleme kontrolü özelliğini kapatırım
    Bu tür saldırılar nadir olsa bile, güncelleme isteklerinin bilgisayarımın parmak izi ve konum bilgisini açığa çıkardığını düşünüyorum

    • Gerçekten anlamıyorum. Uzaktan kod çalıştırma açıkları sonuçta “yazılımın uzaktan kod alıp çalıştırmasına izin verildiğinde” ortaya çıkıyor
    • Elbette Room 641A düzeyinde bir gözetim söz konusuysa, ne kadar dikkatli olsanız da bundan tamamen kaçmak zor
      Tehdit modelleme ile gerçekçi bir güvenlik seviyesi korumak önemli
    • O zaman tersinden, güncelleme yapmayınca ortaya çıkan açık maruziyetini nasıl yönettiğiniz sorusu da kalıyor