Açık kaynak dünyasının en bilinen metin editörlerinden Notepad++, aylar süren ciddi bir siber saldırının merkezinde yer aldı. Projenin geliştiricisi, yazılım güncellemelerinin 2025 yılı boyunca kötü amaçlı yazılımlar yaymak için kullanıldığını doğruladı. İlk bulgular, saldırının Çin hükümetiyle bağlantılı bir casusluk operasyonu olabileceğine işaret ediyor.
Notepad++ saldırısı nasıl ortaya çıktı
Geliştirici Don Ho, pazartesi günü yayımladığı blog yazısında, Haziran ile Aralık 2025 arasında Notepad++ altyapısının hedef alındığını açıkladı. Güvenlik uzmanlarının yaptığı teknik analizlere göre saldırı, son derece sınırlı ve seçici bir hedefleme modeli izledi. Bu nedenle Ho, operasyonun devlet destekli bir grup tarafından yürütülmüş olabileceğini belirtti.
Araştırmalar, saldırının özellikle Doğu Asya ile ilişkili kurumları hedef aldığını gösteriyor. Zararlı güncellemeler, yalnızca belirli kullanıcıların sistemlerine ulaştı. Bu durum, saldırının rastgele değil, planlı ve istihbarat amaçlı olduğunu güçlendirdi.
Notepad++ hedef alan grubun kimliği netleşiyor
Olayı inceleyen siber güvenlik şirketi Rapid7, saldırıyı “Lotus Blossom” olarak bilinen ve uzun süredir Çin adına faaliyet yürüttüğü öne sürülen bir gruba atfetti. Lotus Blossom, geçmişte de devlet kurumları, telekom şirketleri, havacılık sektörü ve kritik altyapıları hedef alan operasyonlarla gündeme gelmişti.
Notepad++, yirmi yılı aşkın geçmişi ve on milyonlarca indirmesiyle, küresel ölçekte kamu ve özel sektörde yaygın olarak kullanılıyor. Bu nedenle saldırının etkisi, doğrudan bulaşan sistem sayısı az olsa bile oldukça kritik kabul ediliyor.
Notepad++ zararlı güncellemeleri nasıl dağıttı
Saldırıyı ilk fark eden güvenlik araştırmacısı Kevin Beaumont, Aralık ayında bir analiz yayınladı. Analizde, enfekte edilmiş Notepad++ sürümlerinin bazı kurumlarda “doğrudan erişim” sağladığını aktardı. Saldırganlar, bu sürümleri kullanan bilgisayarlarda aktif olarak kontrol elde etti.
Ho’nun paylaştığı bilgilere göre Notepad++ web sitesi, paylaşımlı bir sunucuda barındırılıyordu. Saldırganlar, siteye özgü bir yazılım hatasından yararlanarak güncelleme isteyen bazı kullanıcıları kendi kontrol ettikleri kötü amaçlı sunuculara yönlendirdi. Bu açık Kasım ayında kapatıldı. Aralık başında ise saldırganların erişimi tamamen sonlandırıldı.
Ho, saldırganların yamalanan açıkları yeniden istismar etmeye çalıştığını gösteren kayıtlar bulunduğunu, ancak bu girişimlerin başarısız olduğunu da ekledi.
Notepad++ vakası neden tanıdık geliyor
Bu olay, birçok uzmana göre 2019–2020 yıllarında yaşanan SolarWinds saldırısını hatırlatıyor. O dönemde Rusya bağlantılı istihbarat servisleri, SolarWinds yazılımına arka kapı yerleştirerek çok sayıda ABD devlet kurumunun ağına erişim sağlamıştı. Söz konusu ihlal, İç Güvenlik Bakanlığı da dahil olmak üzere birçok kritik kurumu etkilemişti.
Don Ho, yaşananlar nedeniyle kullanıcılardan özür diledi ve herkesin yalnızca en güncel Notepad++ sürümünü indirmesi gerektiğini vurguladı. Açık kaynak dünyasında güven, şeffaflıkla ayakta durur. Bu saldırı ise tek bir zayıf halkanın, küresel ölçekte ne kadar büyük sonuçlar doğurabileceğini bir kez daha gösterdi.
