广受欢迎的开源文本编辑器Notepad++,其官方软件更新机制被发现遭到黑客组织劫持,时间长达六个月。此次事件是一起典型的供应链攻击,攻击者通过入侵项目的托管服务提供商,篡改了软件的更新流量,使大量用户在不知情的情况下下载了恶意版本。

这一事件通过 Notepad++ 开发者 Don Ho 的官方更新曝光,作者称遭受疑似国家支持的黑客攻击,攻击者在托管提供商处获得基础设施级访问权限。这使他们能够向选定用户提供恶意更新清单,利用旧版本工具中验证控制不足的问题。该入侵于 2025 年 9 月初在服务器维护期间首次被发现,这无意中中断了攻击者的访问。然而,他们直到 2025 年 12 月 2 日才完全失去对内部服务的控制,当时提供商完成了全面修复。

安全专家的分析,包括 Rapid7 的 Ivan Feigl 的意见,估计攻击持续时间从 2025 年 6 月到 11 月中旬,残留访问权限持续到 12 月初。在事件响应 (IR) 团队的调查结果中,没有发现具体的入侵指标 (IoCs),如二进制哈希、域名或 IP 地址,这在 2026 年 2 月 2 日和 3 日的公告编辑中得到确认。开发者指出,攻击于 2025 年 11 月 10 日停止,并强调劫持并非直接入侵 Notepad++ 的代码或仓库,而是对域名流量的重定向。

作为回应,Notepad++ 团队迅速采取行动缓解风险并防止未来发生类似事件。网站迁移到新的托管提供商,并采用增强的安全协议。主要软件更新包括在 8.8.9 版本中加强 WinGup 更新器,以验证下载安装程序的证书和签名,同时为更新服务器响应实施签名 XML (XMLDSig)。从即将发布的 8.9.2 版本开始(预计在 8.8.9 版本发布后约一个月),证书和签名验证将严格执行。

旧版 Notepad++ 用户由于更新检查宽松而特别易受攻击。开发者向受影响用户公开道歉,并强烈推荐手动下载并安装 8.9.1 版本,该版本包含这些安全增强功能。对于在 2025 年 12 月 2 日后更新凭证或采取类似预防措施的个人,无需额外行动。

官方原文:https://notepad-plus-plus.org/news/hijacked-incident-info-update/