作者:AJ Vicens

2月2日(路透社)- 一个与中国相关的网络间谍组织,历史悠久,劫持了流行的代码编辑平台 Notepad++ 的更新过程,向目标用户传递定制的后门程序和其他恶意软件,该程序的开发者和网络安全研究人员周一表示。

Notepad++ 的法国开发者 Don Ho 在周一发布在项目网站上的博客中表示,恶意行为者自2025年6月起开始针对特定用户的更新过程进行攻击。Ho 表示,黑客在2025年9月2日之前可以访问 Notepad++ 更新所用的托管服务器,但直到2025年12月2日仍保持对某些托管服务的访问凭据。

目前尚不清楚哪些 Notepad++ 用户被攻击,或者有多少用户受到影响。Ho 在一封电子邮件中表示,他无法得知有多少恶意更新被下载过。

“根据调查结果,我了解到,攻击是高度选择性的——并非所有用户在被攻击的时间段内都收到了恶意更新,这表明攻击是有针对性的,而不是广泛传播,”Ho 说。

网络安全和基础设施安全局的发言人表示,该局“已意识到报告的安全漏洞,并正在调查美国政府(USG)可能受到的影响。”

霍的博客上有他托管服务提供商的信息,表示用于向客户提供更新的服务器“可能已经被攻破”,而黑客特别针对的是与 Notepad++ 相关的域名。

互联网注册记录显示,该域名由立陶宛托管服务提供商Hostinger托管,直到1月21日,Ho在电子邮件中确认了这一事实。

网络安全公司Rapid7在周一发布的博客中将这次黑客攻击活动归因于一个与中国有关的网络间谍团体,该团体被称为“莲花绽放”。根据Rapid7的说法,该团体自2009年以来活跃,历史上主要针对东南亚的政府、电信、航空、关键基础设施和媒体行业,最近则扩展到中美洲。

中国驻华盛顿大使馆的一位发言人表示:“中国反对并依法打击所有形式的黑客行为。我们绝不鼓励、支持或纵容网络攻击。我们拒绝相关方在没有任何事实证据的情况下,肆意声称中国政府赞助黑客活动的无责任言论。”

根据分析,该黑客组织利用其访问权限交付了一个自定义后门,使其能够对感染的计算机进行交互式控制,这些计算机随后可以作为跳板,从而窃取数据并攻击其他计算机。