多年来,Notepad++一直是IT管理员、开发人员、学生和安全研究人员不假思索就会安装的轻量级免费工具。正因如此,其更新系统近期暴露的安全问题才显得尤为严重。
在随v8.8.9版本发布的详细声明中,Notepad++维护者Don Ho今日确认,该软件的更新基础设施通过前托管服务商遭到入侵。需要明确的是,此次入侵并非由于Notepad++代码本身存在漏洞,而是攻击者在托管层面获取控制权后,能够拦截更新流量并将部分用户重定向至攻击者控制的服务器,从而分发恶意二进制文件。
入侵时间线与攻击手法
根据Notepad++与托管服务商的联合调查,初始入侵发生在2025年6月,并以多种形式持续至至少11月,部分访问权限可能保留至2025年12月2日。托管公司承认,受影响的共享托管服务器负责处理更新请求。更严重的是,即便攻击者在9月初因内核和固件更新失去直接访问权限后,仍保留着内部服务的凭证,使其能持续操纵更新响应,改变用户下载更新的目标地址。
调查日志显示,攻击几乎完全针对notepad-plus-plus.org域名,同基础设施上的其他客户未受影响,这表明攻击具有明确针对性而非机会性滥用。
潜在影响与应对措施
目前尚无法评估实际损害规模,包括受影响用户数量及分发的恶意软件家族。考虑到Notepad++在个人系统、高校及企业环境中的广泛使用,即便是有限攻击也可能造成严重的连锁影响。
值得庆幸的是,Notepad++网站及更新服务已迁移至新托管商,并实施了重大更新验证机制改进。从v8.8.9版本开始,WinGUp将验证安装程序签名和证书,更新响应也采用XML数字签名,并计划在v8.9.2版本中严格执行。
攻击溯源与专家观点
参与调查的安全研究人员认为,重定向的选择性、攻击者的耐心和精确度,均符合高级持续性威胁组织(APT)的活动模式,而非普通犯罪团伙的恶意软件操作。
Closed Door Security首席运营官Cassius Edison评论称:"这又是一起严重的供应链攻击,可能影响数百万台设备。Notepad++在IT和开发环境中无处不在,这种信任度使得此类入侵极其危险。虽然漏洞并非源自软件本身,但攻击者能在更新基础设施中潜伏数月并操纵用户下载路径。"
Edison补充道,即使用户未发现明显问题也不应掉以轻心,保持系统更新并监控异常行为至关重要,特别是连接大型网络的设备。
Notepad++维护者已公开致歉用户,并表示事件已完全控制。随着基础设施变更完成和客户端验证机制强化,类似劫持尝试的风险虽已降低但尚未根除。
