Notepad++ Hacklendi: Güvenlik Sızıntısı ve Saldırının Ayrıntıları

Notepad++ adlı açık kaynak metin editörü, uzun süredir küresel kullanıcı kitlesine ulaşan bir araç olarak biliniyor. Son gelişmeler, bu popüler yazılımın aylarca süren kritik bir siber saldırının merkezi haline geldiğini ortaya koydu. Geliştirici Don Ho, Haziran 2025 ile Aralık 2025 arasındaki dönemde altyapının hedef alındığını blogunda duyurdu.

Güvenlik uzmanları, saldırının Doğu Asya’daki kurumları hedefleyen selefi bir istihbarat odaklı operasyon olduğu konusunda görüş bildiriyor. Teknik analizler, Lotus Blossom olarak adlandırılan grubun devlet destekli bir operasyon olduğunu düşündürüyor ve bu grubun daha önce de kritik altyapılara yönelik çalışmalar yaptığı belirtiliyor. Rapid7’nin analizine göre, grup uzun süredir Çin adına faaliyet göstermekte ve birçok devlet kurumu, telekom ve havacılık alanlarını kapsayan hedefleri bulunmaktadır.

Notepad++ zararlı güncellemelerinin dağıtım yöntemi konusunda ilk fark eden güvenlik uzmanı Kevin Beaumont, en son raporlarında enfekte sürümlerin bazı kurumlarda doğrudan erişim sağlamaya devam ettiğini işaret etti. Ho’nun açıklamasına göre, Notepad++ web sitesi paylaşımlı bir sunucuda barındırılıyordu ve kötü amaçlı bir hatadan yararlanılarak bazı kullanıcılar, güncelleme talebiyle yönlendirildi. Bu yönlendirme Kasım’da kapatıldı; Aralık başında ise saldırganların erişimi tamamen sonlandırıldı.

Olayı inceleyen uzmanlar, sızmanın eski SolarWinds vakasına benzer karmaşık bir yapı sergilediğini belirtiyor. SolarWinds’ta olduğu gibi bu durumda da kötücül müdahale, güvenlik açığının istismar edilmesiyle geniş bir ağ üzerinde etkili oldu. Don Ho, kullanıcıları yalnızca en güncel Notepad++ sürümünü indirmeye çağırdı ve güvenli yazılım kullanımının altını çizdi. Bu olay, güvenliğe verilen önemin küresel ölçekteki etkisini bir kez daha gözler önüne serdi; tek bir zayıf halkanın dahi tüm ekosistemi nasıl etkileyebileceğini gösterdi.