Link alla notizia: https://www.hwupgrade.it/news/software-business/allarme-notepad++-compromesso-per-sei-mesi-il-sistema-di-aggiornamento_149542.html

Un gruppo di hacker cinesi apparentemente sponsorizzati dal governo nazionale ha compromesso l'infrastruttura di aggiornamento di Notepad++ per sei mesi, dirottando il traffico di utenti specifici verso server malevoli. La violazione ha sfruttato il provider di hosting e non il codice sorgente

Click sul link per visualizzare la notizia.

Certo che da giugno a dicembre 2025, vuol dire dalla v8.8.2 in poi...ce ne sono state di occasioni per ritrovarsi con aggiornamenti automatici deviati verso server non sicuri...:mc:

Download Notepad++ v8.9.1 (stable: auto-update triggered)
Download Notepad++ v8.9: security enhancements
Download Notepad++ v8.8.9: vulnerability-fix
Download Notepad++ v8.8.8
Download Notepad++ v8.8.7 - Authenticity Guaranteed
Download Notepad++ v8.8.6: Clarifying the CVE-2025-56383 Non-Issue
Download Notepad++ v8.8.5
Download Notepad++ v8.8.4
Download Notepad++ v8.8.3 - Self-signed Certificate: Certified by Code, Not Corporations
Download Notepad++ v8.8.2

Si sa benissimo che con i software auto-aggiornanti c'è questo pericolo...

Boh io ho la versione 8.2 da non so quanto tempo...mai sentito il bisogno di aggiornare.

ho ancora la 8.5 :sofico:

> hacker cinesi

Benissimo

Si sa benissimo che con i software auto-aggiornanti c'è questo pericolo...

No basta implementare un meccanismo di firma, prima di eseguire l'aggiornamento si verifica la firma, in caso contrario l'aggiornamento non si fa.
Su linux i pacchetti delle distribuzioni sono firmati.

secondo voi solo con il check di disponibilità di aggiornamenti bastava a prendersi il malware ?

ovvero quando si collega a server remoto e avvisa che ci sono updates anche se fai no e mantieni la versione corrente

mi è capitato in passato del check ma sempre rifiutato

secondo voi solo con il check di disponibilità di aggiornamenti bastava a prendersi il malware ?

ovvero quando si collega a server remoto e avvisa che ci sono updates anche se fai no e mantieni la versione corrente

mi è capitato in passato del check ma sempre rifiutato

non è che tutti quelli che hanno scaricato in auto-aggiornamento gli update di Notepad++ sono stati automaticamente infettati.
da qui: https://arstechnica.com/security/2026/02/notepad-updater-was-compromised-for-6-months-in-supply-chain-attack/

The attackers, whom multiple investigators tied to the Chinese government, then selectively redirected certain targeted users to malicious update servers where they received backdoored updates

gli hackers hanno colpito "target specifici", non "tutti gli utenti di Notepad++".
quindi boh, direi che l'utente comune di HWUpgrade ha basse probabilità di essere incappato nel problema.

No basta implementare un meccanismo di firma, prima di eseguire l'aggiornamento si verifica la firma, in caso contrario l'aggiornamento non si fa.
Su linux i pacchetti delle distribuzioni sono firmati.
Sì, ma deve essere il software stesso a farlo.
Se hai un gestore unico degli aggiornamenti, ti fidi delle procedure che utilizza perché è un software adibito a ciò (come su Linux).
Quando hai invece i singoli software che cercano di arrangiarsi nella loro maniera per auto-aggiornarsi, non puoi controllare che procedura utilizza ognuno di essi.

L'utente scarica e installa Notepad++ (o Ccleaner, o Foxit, ecc...), poi un giorno ti dice "c'è un aggiornamento, clicca qui per scaricare"... che fai, ti fidi del software, e invece qualcuno usa sistemi non sicuri di aggiornamento.

https://imgs.xkcd.com/comics/dependency.png

:)