В прошлом году создатель Notepad++ выпустил обновление для текстового редактора и редактора исходного кода после того, как эксперты по безопасности сообщили, что злоумышленники использовали его механизм обновления для перенаправления трафика на вредоносные серверы. Это привело к тому, что пользователи загружали скомпрометированные исполняемые файлы, которые могли заразить их устройства. Теперь Дон Хо сообщил, что несколько экспертов по безопасности расследовали взлом и пришли к выводу, что злоумышленник «вероятно, является группой, спонсируемой китайским государством». Он сказал, что это объясняет, почему эксперты наблюдали крайне избирательный выбор целей во время кампании и почему перенаправлялся только трафик от определенных пользователей, чтобы они скачивали вредоносные файлы. Неясно, какие именно пользователи были целью и что делали файлы с их устройствами.

Злоумышленники начали перенаправлять трафик с Notepad++ на свои серверы примерно в июне 2025 года, и это продолжалось до 2 декабря. Их метод включал компрометацию системы на уровне хостинг-провайдера, хотя точный технический механизм, позволивший им перехватывать трафик, остается под следствием. Помимо выпуска исправления безопасности, Notepad++ также перешел на нового хостинг-провайдера с гораздо более строгими мерами безопасности. Теперь Хо призывает всех, кто хочет установить приложение, скачать версию 8.9.1, которая поставляется с обновлением безопасности, и вручную запустить установщик.