Theo thông tin công bố, đây là một cuộc tấn công có tính “chọn lọc cực cao”. Tin tặc không chỉnh sửa hay cài cắm mã độc trực tiếp vào mã nguồn Notepad++, mà chiếm quyền kiểm soát máy chủ của nhà cung cấp dịch vụ hosting. Từ đó, chúng lợi dụng lỗ hổng trong cơ chế xác minh cập nhật của các phiên bản Notepad++ cũ để phát tán các bản cập nhật giả mạo chứa mã độc đến một số người dùng được nhắm mục tiêu cụ thể.
Trong thời gian bị xâm nhập, các bản vá lỗi độc hại đã được phân phối một cách kín đáo, khiến sự cố kéo dài nhiều tháng mà không bị phát hiện. Cuộc tấn công chỉ thực sự chấm dứt khi toàn bộ mật khẩu quản trị hệ thống được thay đổi và quyền truy cập trái phép bị ngắt hoàn toàn vào đầu tháng 12.2025.
Trước sự cố, Notepad++ đã nhanh chóng chuyển toàn bộ hệ thống sang nhà cung cấp hosting mới có mức độ bảo mật cao hơn. Đồng thời, phiên bản 8.8.9 được phát hành với cơ chế xác minh chứng chỉ và chữ ký số nghiêm ngặt trong quá trình tải và cập nhật phần mềm.
Đội ngũ phát triển cho biết phiên bản 8.9.2 sắp ra mắt sẽ tiếp tục siết chặt bảo mật, biến xác minh chữ ký số thành yêu cầu bắt buộc. Người dùng được khuyến cáo cập nhật Notepad++ lên phiên bản mới nhất để đảm bảo an toàn cho hệ thống và dữ liệu.
