2025年下半年,一起围绕Notepad++更新服务的异常安全事件逐步显现。根据后续披露的信息,这一入侵最早可追溯至2025年6月,当时攻击者已成功控制承载Notepad++更新管理功能的共享托管服务器,并开始为后续利用铺设条件。直到2025年11月中下旬,随着Notepad++发布8.8.8版本并对更新机制进行加固,相关异常才逐渐进入安全研究人员视野。2025年12月初,部分组织的真实安全事件被公开披露,事件全貌由此浮出水面。与传统供应链攻击不同,此次事件并未涉及源代码篡改,而是发生在更新分发链路和托管基础设施层面。攻击者利用旧版本更新校验不足的窗口期,对特定用户实施高度选择性的更新流量劫持,并在受害系统中获得初始访问权限,随后展开人工操作活动。这一持续约六个月、低噪音但高针对性的攻击行动,清晰表明软件更新机制本身已成为国家背景威胁行为者重点利用的新型攻击面,其风险与影响远不止于单一软件项目。
外媒已将矛头指向中国,一场老生常谈的叙事开始了。
事件概述:发生在基础设施层面的供应链攻击
Notepad++是全球范围内被广泛使用的文本编辑器,长期以来被视为低风险、可信赖的开发与运维工具。然而,2025年中期至年底,该项目的更新服务被发现遭到持续性利用,部分用户在执行“合法更新”时,被重定向下载并执行了恶意更新组件。
需要强调的是,本次事件并未发现Notepad++源代码被篡改的证据。攻击发生在更新分发路径上,核心问题在于:一是更新基础设施所在的共享托管服务器被入侵;二是旧版本Notepad++更新机制在更新源、下载文件完整性与真实性验证方面存在不足。
多名安全研究人员基于攻击的持续时间、技术复杂度及目标选择方式,认为该行动具备明显的国家级资源与规划特征,但相关分析在公开表述中均保持了克制。
攻击时间线:从服务器入侵到流量劫持
(一)初始入侵阶段(2025年6月)
根据托管服务提供商与Notepad++维护者披露的信息,攻击最早可追溯至2025年6月。攻击者成功入侵了承载Notepad++更新管理逻辑的共享主机服务器,该服务器上运行着向客户端返回更新下载地址的关键接口:
该接口负责生成并返回gup.xml文件,其中包含WinGUP更新程序用于下载新版本的URL。
(二)持续控制阶段(2025年6月至9月2日)
托管服务商确认,该共享主机在2025年9月2日之前一直处于被入侵状态。期间,攻击者能够观察并分析Notepad++的更新流程,并意识到旧版本存在以下特征:
更新客户端完全信任服务器返回的下载URL
更新文件的签名与证书校验并不严格
notepad-plus-plus.org域名流量相对稀少,适合实施定向流量劫持
(三)“失去访问但仍可利用”阶段(9月2日至12月2日)
2025年9月2日,托管服务商在例行维护中完成内核与固件更新,攻击者由此失去了对服务器的直接访问权限。但调查显示,攻击者仍然掌握着服务器上部分内部服务的有效凭据,直至2025年12月2日才被全部轮换。
正是这一“清理不彻底”的窗口期,使攻击者仍可对部分指向getDownloadUrl.php的流量进行操控,将特定用户的更新请求重定向至其控制的服务器,并返回包含恶意更新的下载地址。
(四)事件曝光与终止(2025年11月至12月)
2025年11月中旬,Notepad++发布8.8.8版本,对更新机制进行关键加固。
2025年12月初,安全研究人员Kevin Beaumont披露,已有至少三个组织的安全事件可追溯至Notepad++更新进程。2025年12月2日,托管服务商完成凭据轮换与漏洞修复,相关恶意活动不再出现。综合各方评估,入侵活动持续时间约为2025年6月至12月2日。
攻击技战法:更新链路的精准操纵
1. 不修改代码,而是操纵“信任关系”
攻击者并未植入后门或篡改Notepad++程序代码,而是利用更新流程中的“信任假设”:WinGUP会向官方服务器请求更新信息,并执行返回的下载文件。如果攻击者能够拦截或重定向这一通信,就可以在不触及代码仓库的情况下,将恶意程序伪装成合法更新。
2. 高选择性的目标投递
多份材料一致指出,攻击并未大规模发生。已知受害者数量极少,且集中于对东亚事务具有现实利益关联的组织。受害系统在被利用后,出现了明显的人工交互式侦察与操作行为。这种“低噪音、高价值”的攻击模式,与常见犯罪型恶意软件明显不同。
3. 对更新机制演进的精准把握
攻击发生的时间窗口,与Notepad++更新机制安全改进高度重合。旧版本更新校验不足,而8.8.8、8.8.9及后续8.9.2版本逐步引入强制验证。攻击者显然利用了这一过渡期,在防护尚未完全收紧前实施行动。
危害与影响评估
首先,该事件动摇了“更新即安全”的基本认知。当更新通道本身被利用时,传统安全建议需要重新审视。
其次,基础设施层面的攻击极具隐蔽性,终端防护与代码审计往往难以及时发现异常。
再次,在企业环境中,Notepad++常被广泛部署且权限不低,一旦被利用,可能成为横向移动或情报收集的跳板。
对组织与个人的建议
(一)组织层面
优先使用手动或集中式部署方式更新Notepad++
监控gup.exe是否访问notepad-plus-plus.org、github.com及release-assets.githubusercontent.com之外的域名
排查TEMP目录中异常生成的update.exe或AutoUpdater.exe
在条件允许的情况下,限制gup.exe和notepad++.exe的外联权限
(二)个人用户
确保使用官方渠道下载安装最新版Notepad++
避免通过搜索引擎广告下载软件
对自动弹出并执行的更新行为保持警惕
结语
Notepad++更新服务被劫持事件并未造成大规模破坏,但它清晰展示了一种成熟、克制且高度现实的供应链攻击模式。当攻击者开始系统性利用更新信任机制本身,软件分发体系的安全假设必须被重新检视。这不仅是一个项目的问题,而是整个软件生态需要正视的长期挑战。
参考资源
1、https://www.helpnetsecurity.com/2026/02/02/2025-notepad-supply-chain-compromise/
2、https://gbhackers.com/notepad-users-targeted/
3、https://notepad-plus-plus.org/news/hijacked-incident-info-update/
4、https://doublepulsar.com/small-numbers-of-notepad-users-reporting-security-woes-371d7a3fd2d9
