Napad se je začel junija lani in je trajal do 2. decembra, ko je nova posodobitev kinila uporabo samopodpisanega certifikata. S tem so onemogočili nameščanje nepreverjenih verzij programske opreme. Vdor v strežnike so odpravili že 2. septembra, napad pa se je v praksi končal novembra. Decembra so dokončno onemogočili vsakršen dostop napadalcev.
Ni šlo le za teoretično ranljivost, temveč so hekerji dejansko pridobili dostop do nekaterih računalnikov pri uporabnikih Notepad++. Žrtve so bile izbrane tarčno.
Najnovejša verzija v8.9.1 je zakrpana.
