Loading... # Notepad++ 遭国家级黑客劫持事件详情更新 # 一、新闻概述 ## 1. 标题 Notepad++ 遭国家级黑客劫持:托管服务器被入侵长达半年 ## 2. 发布时间 2026 年 2 月 2 日 ## 3. 来源 Notepad++ 官方网站 # 二、核心内容 ## 1. 事件摘要 ### A. 主要内容 Notepad++ 官方发布安全事件调查更新,确认其更新服务器在 2025 年 6 月至 12 月期间遭到国家级黑客组织入侵。攻击者通过入侵托管服务商的共享服务器,劫持 Notepad++ 的更新流量,向特定目标用户分发恶意软件。 ### B. 核心亮点 - 攻击发生在托管服务商层面,而非 Notepad++ 代码本身 - 多名独立安全研究人员评估攻击者为中国国家级黑客组织 - 攻击者利用旧版本 Notepad++ 更新验证机制不足的漏洞 - 官方已完成安全加固并迁移至新托管服务商 ## 2. 关键信息 ### A. 影响时间范围 2025 年 6 月至 2025 年 12 月 2 日 ### B. 重要数据 - 服务器入侵持续时间:约 3 个月(至 2025 年 9 月 2 日) - 凭证泄露持续时间:约 6 个月(至 2025 年 12 月 2 日) - 日志分析量:约 400 GB ### C. 涉及产品 Notepad++ 更新服务(WinGup)、notepad-plus-plus.org 域名 ## 3. 背景介绍 ### A. 前置版本 Notepad++ v8.8.9 于 2025 年底发布时首次披露此安全事件,并引入了更新验证增强功能。 ### B. 相关上下文 Notepad++ 是全球最流行的开源文本编辑器之一,广泛用于软件开发和系统管理。其庞大的用户群体使其成为供应链攻击的高价值目标。 # 三、详细报道 ## 1. 主要内容 ### A. 攻击方式 攻击者通过入侵托管服务商的共享服务器,获取了基础设施级别的访问权限。这使他们能够: - 拦截并重定向指向 notepad-plus-plus.org 的更新流量 - 向特定目标用户提供恶意更新清单 - 将用户引导至攻击者控制的服务器下载恶意安装包 ### B. 攻击时间线 - 2025 年 6 月:攻击开始 - 2025 年 9 月 2 日:服务器进行内核和固件更新,攻击者失去服务器直接访问权限 - 2025 年 11 月 10 日:安全专家评估攻击活动停止 - 2025 年 12 月 2 日:托管服务商完成所有凭证轮换,彻底阻断攻击者访问 ### C. 攻击特征 - 高度针对性:仅针对 Notepad++ 域名,同服务器其他客户未受影响 - 选择性投放:仅向特定目标用户分发恶意更新 - 利用已知弱点:攻击者了解旧版本 Notepad++ 更新验证机制的不足 ## 2. 技术细节 ### A. 攻击链路 ```mermaid sequenceDiagram participant U as 目标用户 participant N as Notepad++ 客户端 participant A as 攻击者服务器 participant H as 被入侵的托管服务器 participant R as 真实更新服务器 U->>N: 检查更新 N->>H: 请求 getDownloadUrl.php H->>A: 流量被劫持重定向 A->>N: 返回恶意更新清单 N->>A: 下载恶意安装包 A->>N: 分发后门程序 Note over U,R: 非目标用户正常访问真实服务器 ```  ### B. 托管服务商声明要点 托管服务商在调查后提供了详细声明,关键发现包括: 1. 共享服务器在 2025 年 9 月 2 日前被入侵 2. 攻击者在失去服务器访问后仍保留内部服务凭证至 12 月 2 日 3. 攻击者专门搜索 notepad-plus-plus.org 域名进行流量劫持 4. 同服务器其他客户未被针对 5. 所有安全修复已于 12 月 2 日完成 ### C. 关联威胁情报 Rapid7 安全团队发布了相关调查报告,将此次攻击与 Lotus Blossom(莲花)APT 组织关联。该组织使用名为 Chrysalis 的后门程序,与本次事件的攻击模式高度吻合。 ## 3. 数据与事实 ### A. 调查情况 - 事件响应团队分析了约 400 GB 服务器日志 - 发现入侵迹象但未能提取具体 IoC(入侵指标) - 托管服务商未能提供二进制哈希、域名或 IP 地址等具体指标 ### B. 归因分析 多名独立安全研究人员评估攻击者为中国国家级黑客组织,依据包括: - 高度选择性的目标定位 - 复杂的基础设施入侵能力 - 与已知 APT 组织的战术技术程序(TTP)相符 # 四、影响分析 ## 1. 行业影响 ### A. 供应链安全警示 此事件再次凸显软件供应链安全的脆弱性。攻击者不直接攻击软件代码,而是瞄准分发基础设施,这种攻击方式更难检测和防御。 ### B. 托管服务商责任 事件暴露了共享托管环境的安全风险。即使单个客户的代码安全,托管层面的漏洞仍可能导致严重后果。 ## 2. 用户影响 ### A. 受影响用户 在 2025 年 6 月至 12 月期间通过自动更新功能更新 Notepad++ 的用户可能受到影响,特别是被攻击者选定的目标用户。 ### B. 风险评估 - 普通用户:风险较低,攻击具有高度针对性 - 敏感行业用户:风险较高,建议进行安全审计 ### C. 建议措施 - 立即手动下载并安装 v8.9.1 版本 - 检查系统是否存在异常进程或网络连接 - 敏感环境建议进行完整的安全扫描 ## 3. 技术趋势 ### A. 更新机制安全 软件更新机制正成为攻击者的重点目标。强制签名验证、证书固定等措施将成为标准实践。 ### B. 基础设施安全 开源项目需要更加重视托管基础设施的安全性,考虑使用专业的安全托管服务或 CDN。 # 五、各方反应 ## 1. 官方回应 Notepad++ 作者 Don Ho 发表声明: - 对受影响用户深表歉意 - 已将网站迁移至安全性更强的新托管服务商 - v8.8.9 已增强更新验证机制 - v8.9.2 将强制执行证书和签名验证 ## 2. 业内评价 ### A. 安全专家观点 Rapid7 安全团队发布了详细的技术分析报告,将攻击归因于 Lotus Blossom APT 组织,并提供了 Chrysalis 后门的技术细节和 IoC。 ### B. 社区反馈 - 用户对官方透明披露表示认可 - 部分用户担忧开源软件供应链安全 - 呼吁建立更完善的软件分发安全标准 ## 3. 用户反馈 ### A. 正面评价 - 官方响应及时,信息披露透明 - 安全加固措施到位 ### B. 关注点 - 缺乏具体 IoC 使用户难以自查 - 攻击持续时间较长引发担忧 # 六、安全加固措施 ## 1. 已完成措施 ### A. 托管迁移 网站已迁移至安全性更强的新托管服务商 ### B. 更新机制增强 - v8.8.9:WinGup 增强为验证下载安装包的证书和签名 - 更新服务器返回的 XML 现已使用 XMLDSig 签名 ## 2. 计划措施 ### A. v8.9.2 更新 预计一个月内发布,将强制执行证书和签名验证 ## 3. 用户建议操作 - 手动下载 v8.9.1 并运行安装程序更新 - 避免使用旧版本的自动更新功能 - 关注官方后续安全公告 # 七、相关链接 ## 1. 官方公告 - Notepad++ 劫持事件详情更新 - Notepad++ v8.8.9 发布公告 ## 2. 相关报道 - Rapid7:Chrysalis 后门与 Lotus Blossom 工具集调查 ## 3. 技术文档 - Notepad++ v8.9.1 下载页面 *** ## 参考资料 1. [Notepad++ Hijacked by State-Sponsored Hackers](https://notepad-plus-plus.org/news/hijacked-incident-info-update/) 2. [Rapid7: TR-Chrysalis Backdoor Dive into Lotus Blossom's Toolkit](https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/) 最后修改:2026 年 02 月 03 日 © 允许规范转载 赞 如果觉得我的文章对你有用,请随意赞赏