Према независном истраживачу Кевину Бомонту, три организације рекао му је да су уређаји унутар њихових мрежа који су имали инсталиран Нотепад++ доживјели „сигурносне инциденте“ који су „резултирали у рукама актера пријетњи са тастатуре“, што значи да су хакери могли да преузму директну контролу користећи веб-базирани интерфејс. Све три организације, рекао је Бомонт, имају интересе у источној Азији.
Истраживач је објаснио да су његове сумње изазвале када је Нотепад++ верзија 8.8.8 средином новембра увела исправке грешака како би се „отежало отимање Нотепад++ Упдатер-а да би испоручио нешто… не Нотепад++“.
Ажурирање је унело промене у програм за ажурирање Нотепад++ по мери познат као ГУП, или алтернативно, ВинГУП. Одговорни извршни фајл гуп.еке пријављује верзију која се користи на хттпс://нотепад-плус-плус.орг/упдате/гетДовнлоадУрл.пхп и затим преузима УРЛ за ажурирање из датотеке под називом гуп.кмл. Датотека наведена у УРЛ-у се преузима у директоријум %ТЕМП% уређаја и затим се извршава.
Беаумонт је написао:
Ако можете да пресретнете и промените овај саобраћај, можете да преусмерите преузимање на било коју локацију која се појави променом УРЛ адресе у својству.
Овај саобраћај би требало да буде преко ХТТПС-а, али изгледа да јесте [able] да мењате саобраћај ако седите на нивоу ИСП-а и ТЛС пресреће. У ранијим верзијама Нотепад++, саобраћај је био мало изнад ХТТП-а.
Сама преузимања су потписана – међутим, неке раније верзије Нотепад++ су користиле самопотписани роот сертификат, који се налази на Гитхубу. Са 8.8.7, претходним издањем, ово је враћено на ГлобалСигн. У ствари, постоји ситуација у којој се преузимање не проверава да ли се неовлашћено мења.
Пошто је саобраћај на нотепад-плус-плус.орг прилично редак, можда ће бити могуће седети унутар ланца ИСП-а и преусмерити на друго преузимање. Да бисте то урадили у било ком обиму, потребно је много ресурса.
Беаумонт је објавио своју радну теорију у децембру, два месеца до дана пре него што је Нотепад++ у понедељак објавио савет. У комбинацији са детаљима из Нотепад++, сада је јасно да је хипотеза била тачна.
