Dünyanın en popüler açık kaynaklı metin düzenleyicilerinden biri olan Notepad++, tarihinin en ciddi güvenlik ihlallerinden biriyle sarsıldı. Uygulamanın geliştiricisi Don Ho tarafından 2 Şubat 2026 tarihinde yapılan resmi açıklamaya göre, uygulamanın güncelleme sunucuları aylarca süren sofistike bir siber saldırının hedefi oldu. Yapılan incelemeler ve güvenlik uzmanlarının raporları, bu saldırının arkasında Çin devlet destekli bir hacker grubunun olduğunu işaret ediyor.
Saldırganların, Notepad++’ın kendi kodundaki bir açıktan ziyade, uygulamanın barındırıldığı hosting altyapısını ele geçirerek kullanıcı trafiğini kötü amaçlı sunuculara yönlendirdiği ortaya çıktı. Bu durum, özellikle Haziran 2025 ile Aralık 2025 tarihleri arasında güncelleme yapan kullanıcılar için ciddi bir güvenlik riski oluşturuyor.
Saldırının Perde Arkası: “Altyapı Düzeyinde Ele Geçirme”
Geliştirici Don Ho’nun yayınladığı şeffaflık raporuna göre, saldırı doğrudan Notepad++ yazılımının kaynak koduna yapılmadı. Bunun yerine saldırganlar, yazılımın dağıtımını yapan hosting sağlayıcısının altyapısına sızmayı başardı.
Saldırının teknik detayları incelendiğinde, “altyapı düzeyinde bir ihlal” (infrastructure-level compromise) olduğu görülüyor. Bu ihlal sayesinde kötü niyetli aktörler, notepad-plus-plus.org adresine gelen güncelleme trafiğini araya girerek (interception) kendi kontrol ettikleri sunuculara yönlendirdi.
Bu yönlendirme sonucunda, güncelleme yapmak isteyen masum kullanıcıların cihazlarına orijinal Notepad++ dosyaları yerine, saldırganlar tarafından hazırlanmış ve muhtemelen casus yazılım içeren “zehirli” güncelleme paketleri gönderildi. Saldırının en korkutucu yanı ise, bu yönlendirmenin tüm kullanıcılara değil, “seçici hedefleme” (selective targeting) yöntemiyle sadece belirli profildeki kurbanlara yapılmış olması.
Çin Devlet Destekli Hacker Grubu Şüphesi
Olayı inceleyen birden fazla bağımsız güvenlik araştırmacısı, saldırının arkasındaki tehdit aktörünün Çin devlet destekli bir grup olma ihtimalinin çok yüksek olduğunu belirtti. Bu tespit, saldırının neden rastgele bir “fidye yazılımı” (ransomware) yaymak yerine, son derece seçici ve hedef odaklı bir casusluk faaliyeti olarak yürütüldüğünü de açıklıyor.
Notepad++ geliştiricisi Don Ho, geçmişte Çin hükümetinin politikalarını (Uygur Türkleri, Hong Kong protestoları vb.) açıkça eleştiren sürümler yayınlamasıyla biliniyor. “Özgür Uygur” (Free Uyghur) ve “Hong Kong’un Yanında Ol” (Stand with Hong Kong) gibi sürüm isimleri nedeniyle uygulama Çin’de yasaklanmış ve geliştirici daha önce de siber saldırıların hedefi olmuştu. Bu son saldırının da politik bir motivasyonla, muhalifleri veya geliştiriciyle bağlantılı kişileri izlemek amacıyla yapılmış olabileceği düşünülüyor.
Altı Aylık Kabus: Haziran’dan Aralık 2025’e
Yayınlanan olay müdahale (Incident Response – IR) raporuna göre, saldırı süreci oldukça uzun bir zamana yayılmış durumda:
- Başlangıç (Haziran 2025): Saldırganlar hosting sağlayıcısının sunucularına ilk erişimi sağladı ve
getDownloadUrl.phpgibi kritik güncelleme dosyalarının bulunduğu sunucuyu kontrol altına aldı. - Erişim Kaybı (2 Eylül 2025): Hosting firması, saldırıdan habersiz bir şekilde sunucuda planlı bir bakım gerçekleştirdi. Yapılan çekirdek (kernel) ve donanım yazılımı (firmware) güncellemeleri, saldırganların sunucuya doğrudan erişimini (backdoor) tesadüfen kesti.
- Kalıcı Tehdit (2 Eylül – 2 Aralık 2025): Saldırganlar sunucuya doğrudan erişimi kaybetmiş olsalar da, içerideki kimlik bilgilerini (credentials) çalmayı başarmışlardı. Bu bilgiler sayesinde, 2 Aralık 2025 tarihine kadar trafik yönlendirme işlemlerini sürdürdüler.
- Bitiş (2 Aralık 2025): Hosting sağlayıcısı, güvenlik açığını tespit edip tüm şifreleri ve kimlik bilgilerini sıfırladıktan sonra saldırı kesin olarak durduruldu.
Hosting Sağlayıcısının İtirafları
Olayın ciddiyeti üzerine Don Ho, hosting sağlayıcısı ile güvenlik uzmanları arasında doğrudan bir iletişim hattı kurdu. Hosting firmasından gelen resmi açıklamada şu kritik detaylar yer aldı:
“Kötü niyetli aktörler, 2 Eylül 2025’ten itibaren sunucuya erişimlerini kaybetmiş olsalar da, 2 Aralık tarihine kadar dahili hizmetlerimize ait kimlik bilgilerini ellerinde tuttular. Bu durum,
https://notepad-plus-plus.org/getDownloadUrl.phpadresine giden trafiğin bir kısmını kendi sunucularına yönlendirmelerine ve kullanıcılara ele geçirilmiş güncellemeler göndermelerine olanak tanıdı.”
Firma ayrıca, saldırganların özellikle Notepad++ alan adını hedef aldığını, sunucuda barınan diğer müşterilere dokunmadığını belirtti. Bu da saldırının Notepad++’a özel planlanmış bir operasyon olduğunu kanıtlıyor.
Güvenlik Önlemleri ve Kullanıcıların Yapması Gerekenler
Bu devasa güvenlik ihlalinin ardından Notepad++ ekibi radikal kararlar aldı. Öncelikle web sitesi, güvenlik uygulamaları çok daha sıkı olan yeni bir hosting sağlayıcısına taşındı.
Ancak asıl önemli değişiklik yazılımın kendisinde yapıldı. v8.8.9 sürümüyle birlikte, Notepad++’ın güncelleyicisi olan WinGup modülü güçlendirildi. Artık güncelleyici, indirilen kurulum dosyasının hem sertifikasını hem de imzasını doğrulamadan yükleme yapmıyor.
Yaklaşık bir ay içinde yayınlanması planlanan v8.9.2 sürümüyle birlikte ise, güncelleme sunucusundan dönen XML dosyalarının imzalı olması (XMLDSig) zorunlu hale getirilecek. Bu sayede, trafik yönlendirilse bile uygulama sahte güncellemeyi kabul etmeyecek.
Kullanıcılar İçin Acil Eylem Planı:
Geliştirici Don Ho, tüm kullanıcılardan özür dileyerek şu uyarıda bulundu: “Bu ele geçirme olayından etkilenen tüm kullanıcılardan derinlikle özür dilerim. İlgili güvenlik iyileştirmelerini içeren v8.9.1 sürümünü manuel olarak indirmenizi ve Notepad++ kurulumunuzu güncellemenizi şiddetle tavsiye ediyorum.”
Eğer bilgisayarınızda Notepad++ yüklü ise ve Haziran-Aralık 2025 tarihleri arasında otomatik güncelleme yaptıysanız, sisteminizi güvenilir bir antivirüs yazılımıyla taratmanız ve yazılımı resmi sitesinden indirdiğiniz son sürümle (v8.9.1) manuel olarak güncellemeniz hayati önem taşıyor.
Kaynak: https://notepad-plus-plus.org/news/hijacked-incident-info-update/
