开源文本编辑器 Notepad++ 确认,其软件更新在 2025 年 6 月至 12 月期间遭到黑客劫持,用于向特定用户分发恶意软件。此次攻击被归因于一个与中国政府有关的黑客组织,主要目标是政府和关键基础设施等领域。攻击者利用了 Notepad++ 网站服务器的一个漏洞,该漏洞现已修复,开发者敦促所有用户立即更新软件。
核心事件:软件更新遭劫持
Notepad++ 的开发者证实,黑客利用其软件更新机制传播恶意软件,攻击行为持续了数月之久。安全专家的分析指出,此次攻击具有高度选择性,并非针对所有用户。
- 攻击时间: 2025 年 6 月至 12 月。
- 攻击方式: 通过劫持官方更新渠道,向部分用户推送恶意软件。
- 攻击定性: 类似于 2019-2020 年发生的 SolarWinds 供应链攻击,攻击者通过入侵软件供应商来攻击其下游用户。
攻击者与目标
安全公司 Rapid7 的调查将此次攻击归咎于 “莲花集团” (Lotus Blossom),这是一个长期活跃并被认为与中国政府有关的间谍组织。
攻击目标经过精心挑选,主要集中在对东亚地区有利益关联的组织,包括以下几个关键领域:
- 政府机构
- 电信行业
- 航空公司
- 关键基础设施
- 媒体部门
攻击技术细节
攻击者并未直接攻破 Notepad++ 软件本身,而是利用了其网站托管环境的漏洞。
攻击者利用 Notepad++ 网站所在的 共享托管服务器 上的一个漏洞,将部分请求更新的用户重定向到一个由黑客控制的恶意服务器。这使得黑客能够向特定目标精准地推送包含恶意软件的“更新包”。
该服务器漏洞已于 11 月被修复,黑客的访问权限也于 12 月初被彻底终止。
解决方案与建议
开发者已发布了修复此问题的软件新版本,并对此次事件表示歉意。
为了确保安全,强烈建议所有 Notepad++ 用户立即将软件更新到最新版本。开发者确认,在漏洞修复后,黑客曾尝试再次利用该漏洞,但未能成功。