Máy soạn thảo mã nguồn mở Notepad++ vừa công bố rằng máy chủ cập nhật của ứng dụng đã bị tin tặc “chiếm quyền” trong nhiều tháng, dẫn đến nguy cơ phát tán bản cập nhật độc hại đến một số người dùng bị nhắm mục tiêu. Việc này được coi là một cuộc tấn công chuỗi cung ứng phần mềm (supply-chain attack) nghiêm trọng.
Theo nhà phát triển Don Ho, từ tháng 6 đến ngày 2/12/2025, kẻ tấn công đã thu lợi từ việc chiếm quyền máy chủ chia sẻ dùng để phân phối bản cập nhật Notepad++, khiến trình cập nhật nội bộ của ứng dụng (WinGUp) gửi yêu cầu cập nhật đến máy chủ do bên xấu kiểm soát thay vì máy chủ chính thức. Điều này có thể khiến máy người dùng nhận bản cập nhật chứa mã độc thay vì bản chính hãng nếu họ dùng chức năng cập nhật tự động.
Theo các chuyên gia an ninh mạng, chiến dịch này rất chọn lọc và tinh vi, chỉ nhắm tới một số tổ chức cụ thể, nhiều khả năng có liên quan đến các cơ quan, doanh nghiệp lớn ở khu vực Đông Á, chứ không lan rộng đến toàn bộ người dùng Notepad++. Sự lựa chọn tinh vi này giúp phân tích rằng một nhóm do nhà nước bảo trợ có thể đứng sau vụ tấn công.
Sự cố không phải do lỗ hổng trong mã nguồn Notepad++ mà là do cơ sở hạ tầng máy chủ cập nhật bị xâm nhập trên cấp độ hosting, nơi tin tặc có thể chuyển hướng yêu cầu sang máy chủ của họ. Nhà phát triển đã di chuyển trang web và hệ thống cập nhật đến máy chủ an toàn hơn và tăng cường xác thực chữ ký số cho các bản cập nhật kể từ khi phát hiện sự việc.
Hiện tại, người dùng Notepad++ được khuyến nghị nâng cấp lên phiên bản mới nhất (tối thiểu v8.8.9 hoặc cao hơn), tải trực tiếp từ trang chính thức để đảm bảo không bị ảnh hưởng bởi các bản cập nhật độc hại trước đó.
Vụ việc này là lời nhắc mạnh mẽ về rủi ro an ninh chuỗi cung ứng phần mềm, nơi phần mềm phổ biến vẫn có nguy cơ bị khai thác nếu các thành phần bên ngoài như máy chủ cập nhật hoặc hệ thống phân phối bị xâm nhập.
