据Notepad++项目作者披露,2025年一名国家支持的网络犯罪分子入侵了Notepad++的更新服务。
这一承认发生在文本编辑器8.8.9版本于12月9日发布之后。这个"强化"版本在更新过程中验证了下载安装程序的签名和证书。12月27日,8.9版本发布,停止使用自签名证书。该项目表示:"现在只使用GlobalSign颁发的合法证书来签署Notepad++发行版二进制文件。我们强烈建议之前安装了自签名根证书的用户将其删除。"
今天,在一篇题为"Notepad++遭国家支持的黑客劫持"的帖子中,Notepad++确认该应用程序已成为不法分子的受害者。
此次攻击使用的具体机制仍在调查中,但问题源于托管服务器被入侵以及旧版本编辑器中更新验证控制不足。根据Notepad++的说明:
"来自某些目标用户的流量被选择性地重定向到攻击者控制的服务器,提供恶意更新清单。"
据Notepad++称,该事件始于6月。共享托管服务遭到入侵直到9月2日,即使在失去访问权限后,攻击者仍保留了内部服务的凭证直到12月2日。虽然调查显示攻击于11月10日结束,但Notepad++作者写道:"我估计整个入侵期从6月持续到2025年12月2日,那时所有攻击者访问权限被彻底终止。"
安全研究员凯文·博蒙特在12月2日注意到异常情况。"我现在已经从3个组织那里听说,他们在安装了Notepad++的机器上发生了安全事件,看起来Notepad++进程产生了初始访问。这些事件导致了实际操作键盘的威胁行为者。"
博蒙特表示,更新机制存在被篡改的可能,有可能重定向下载。但他也指出,"活动似乎非常有针对性",他接触到的有限数量受害者都对东亚地区感兴趣。
Notepad++作者写道,几位独立安全研究人员认为威胁行为者可能是中国国家支持的组织,"这可以解释在活动期间观察到的高度选择性目标定位。"
中国网络间谍在计算机和网络入侵方面有着漫长的记录。12月,美国网络安全和基础设施安全局警告称,来自该国的个人侵入美国关键网络,在某些情况下维持访问权限长达数年。
The Register联系了Notepad++作者以获取更多信息,如有任何消息将更新本文。与此同时,检查并删除之前安装的Notepad++根证书,并手动下载安装最新版本是明智之举。
博蒙特称赞Notepad++,在Mastodon上表示:"Notepad++开发者在认真对待问题方面做得很好。"
至于Notepad++,道歉是诚恳的。该项目的网站已经迁移到具有"显著更强大实践"的新托管提供商,更新流程已得到强化。"从即将在约一个月后发布的v8.9.2版本开始,将强制执行证书和签名验证。"
"通过这些更改和加固,我相信情况已经完全解决。祈祷好运。"
Q&A
Q1:Notepad++更新服务被劫持事件是什么时候发生的?
A:据Notepad++项目作者披露,入侵始于2025年6月,共享托管服务遭到入侵直到9月2日。攻击者保留内部服务凭证直到12月2日,整个入侵期从6月持续到12月2日,那时所有攻击者访问权限被彻底终止。
Q2:Notepad++被劫持后攻击者是如何实施攻击的?
A:攻击源于托管服务器被入侵以及旧版本编辑器中更新验证控制不足。来自某些目标用户的流量被选择性地重定向到攻击者控制的服务器,提供恶意更新清单。这次攻击具有高度针对性,受害者主要对东亚地区感兴趣。
Q3:用户应该如何应对Notepad++被劫持事件?
A:用户应该立即检查并删除之前安装的Notepad++自签名根证书,手动下载安装最新版本。Notepad++已将网站迁移到更安全的托管提供商,并强化了更新流程。从即将发布的v8.9.2版本开始将强制执行证书和签名验证。
热门跟贴