2025年下半年,一起圍繞Notepad++更新服務的異常安全事件逐步顯現。根據後續披露的資訊,這一入侵最早可追溯至2025年6月,當時攻擊者已成功控制承載Notepad++更新管理功能的共享託管伺服器,並開始為後續利用鋪設條件。直到2025年11月中下旬,隨著Notepad++釋出8.8.8版本並對更新機制進行加固,相關異常才逐漸進入安全研究人員視野。2025年12月初,部分組織的真實安全事件被公開披露,事件全貌由此浮出水面。與傳統供應鏈攻擊不同,此次事件並未涉及原始碼篡改,而是發生在更新分發鏈路和託管基礎設施層面。攻擊者利用舊版本更新校驗不足的視窗期,對特定使用者實施高度選擇性的更新流量劫持,並在受害系統中獲得初始訪問許可權,隨後展開人工操作活動。這一持續約六個月、低噪音但高針對性的攻擊行動,清晰表明軟體更新機制本身已成為國家背景威脅行為者重點利用的新型攻擊面,其風險與影響遠不止於單一軟體專案。
外媒已將矛頭指向中國,一場老生常談的敘事開始了。
事件概述:發生在基礎設施層面的供應鏈攻擊
Notepad++是全球範圍內被廣泛使用的文字編輯器,長期以來被視為低風險、可信賴的開發與運維工具。然而,2025年中期至年底,該專案的更新服務被發現遭到持續性利用,部分使用者在執行“合法更新”時,被重定向下載並執行了惡意更新元件。
需要強調的是,本次事件並未發現Notepad++原始碼被篡改的證據。攻擊發生在更新分發路徑上,核心問題在於:一是更新基礎設施所在的共享託管伺服器被入侵;二是舊版本Notepad++更新機制在更新源、下載檔案完整性與真實性驗證方面存在不足。
多名安全研究人員基於攻擊的持續時間、技術複雜度及目標選擇方式,認為該行動具備明顯的國家級資源與規劃特徵,但相關分析在公開表述中均保持了剋制。
攻擊時間線:從伺服器入侵到流量劫持
(一)初始入侵階段(2025年6月)
根據託管服務提供商與Notepad++維護者披露的資訊,攻擊最早可追溯至2025年6月。攻擊者成功入侵了承載Notepad++更新管理邏輯的共享主機伺服器,該伺服器上執行著向客戶端返回更新下載地址的關鍵介面:
該介面負責生成並返回gup.xml檔案,其中包含WinGUP更新程式用於下載新版本的URL。
(二)持續控制階段(2025年6月至9月2日)
託管服務商確認,該共享主機在2025年9月2日之前一直處於被入侵狀態。期間,攻擊者能夠觀察並分析Notepad++的更新流程,並意識到舊版本存在以下特徵:
更新客戶端完全信任伺服器返回的下載URL
更新檔案的簽名與證書校驗並不嚴格
notepad-plus-plus.org域名流量相對稀少,適合實施定向流量劫持
(三)“失去訪問但仍可利用”階段(9月2日至12月2日)
2025年9月2日,託管服務商在例行維護中完成核心與韌體更新,攻擊者由此失去了對伺服器的直接訪問許可權。但調查顯示,攻擊者仍然掌握著伺服器上部分內部服務的有效憑據,直至2025年12月2日才被全部輪換。
正是這一“清理不徹底”的視窗期,使攻擊者仍可對部分指向getDownloadUrl.php的流量進行操控,將特定使用者的更新請求重定向至其控制的伺服器,並返回包含惡意更新的下載地址。
(四)事件曝光與終止(2025年11月至12月)
2025年11月中旬,Notepad++釋出8.8.8版本,對更新機制進行關鍵加固。
2025年12月初,安全研究人員Kevin Beaumont披露,已有至少三個組織的安全事件可追溯至Notepad++更新程序。2025年12月2日,託管服務商完成憑據輪換與漏洞修復,相關惡意活動不再出現。綜合各方評估,入侵活動持續時間約為2025年6月至12月2日。
攻擊技戰法:更新鏈路的精準操縱
1. 不修改程式碼,而是操縱“信任關係”
攻擊者並未植入後門或篡改Notepad++程式程式碼,而是利用更新流程中的“信任假設”:WinGUP會向官方伺服器請求更新資訊,並執行返回的下載檔案。如果攻擊者能夠攔截或重定向這一通訊,就可以在不觸及程式碼倉庫的情況下,將惡意程式偽裝成合法更新。
2. 高選擇性的目標投遞
多份材料一致指出,攻擊並未大規模發生。已知受害者數量極少,且集中於對東亞事務具有現實利益關聯的組織。受害系統在被利用後,出現了明顯的人工互動式偵察與操作行為。這種“低噪音、高價值”的攻擊模式,與常見犯罪型惡意軟體明顯不同。
3. 對更新機制演進的精準把握
攻擊發生的時間視窗,與Notepad++更新機制安全改進高度重合。舊版本更新校驗不足,而8.8.8、8.8.9及後續8.9.2版本逐步引入強制驗證。攻擊者顯然利用了這一過渡期,在防護尚未完全收緊前實施行動。
危害與影響評估
首先,該事件動搖了“更新即安全”的基本認知。當更新通道本身被利用時,傳統安全建議需要重新審視。
其次,基礎設施層面的攻擊極具隱蔽性,終端防護與程式碼審計往往難以及時發現異常。
再次,在企業環境中,Notepad++常被廣泛部署且許可權不低,一旦被利用,可能成為橫向移動或情報收集的跳板。
對組織與個人的建議
(一)組織層面
優先使用手動或集中式部署方式更新Notepad++
監控gup.exe是否訪問notepad-plus-plus.org、github.com及release-assets.githubusercontent.com之外的域名
排查TEMP目錄中異常生成的update.exe或AutoUpdater.exe
在條件允許的情況下,限制gup.exe和notepad++.exe的外聯許可權
(二)個人用戶
確保使用官方渠道下載安裝最新版Notepad++
避免透過搜索引擎廣告下載軟體
對自動彈出並執行的更新行為保持警惕
結語
Notepad++更新服務被劫持事件並未造成大規模破壞,但它清晰展示了一種成熟、剋制且高度現實的供應鏈攻擊模式。當攻擊者開始系統性利用更新信任機制本身,軟體分發體系的安全假設必須被重新檢視。這不僅是一個專案的問題,而是整個軟體生態需要正視的長期挑戰。
參考資源
1、https://www.helpnetsecurity.com/2026/02/02/2025-notepad-supply-chain-compromise/
2、https://gbhackers.com/notepad-users-targeted/
3、https://notepad-plus-plus.org/news/hijacked-incident-info-update/
4、https://doublepulsar.com/small-numbers-of-notepad-users-reporting-security-woes-371d7a3fd2d9
