在2025年6月至12月期间,Notepad++ 的更新服务器遭到劫持,导致部分用户下载了包含恶意代码的更新。此次攻击被怀疑由中国国家支持的黑客发起,具有高度针对性,主要目标是与东亚相关的组织。该恶意软件可能让黑客远程控制受害者的键盘。目前,漏洞已被修复,开发者建议用户立即更新至最新版本并采取安全防范措施。
黑客攻击详情
Notepad++ 的开发者 Don Ho 披露,其共享主机服务器遭到入侵,导致部分用户的更新流量被劫持。
- 攻击来源: 疑似为 中国国家支持的黑客组织。
- 攻击时间: 服务器的漏洞存在了大约六个月,从2025年6月持续到12月2日。
- 攻击方式: 黑客选择性地将特定用户的更新请求重定向到他们控制的恶意服务器上,用恶意程序替换了正常的更新文件。
根据网络安全专家的分析,该恶意软件可能赋予攻击者 远程访问和控制受害者键盘 的能力。
攻击目标是谁?
这次攻击并非无差别进行,而是具有 高度选择性的定向攻击。
安全专家指出,已知的受害者主要是 在东亚地区有利益关系的组织。这意味着,虽然安全漏洞很严重,但攻击者的目标是特定人群,而非普通用户。
解决方案与用户建议
开发者确认,到12月2日时,攻击者的所有访问权限已被 彻底终止。同时,Notepad++ 的更新程序也已加强了安全措施,以防止篡改并验证更新的合法性。
为确保安全,建议用户采取以下措施:
- 立即更新: 确保你的 Notepad++ 版本至少为 8.8.9。
- 官方下载: 务必直接从 Notepad++ 官方网站 下载安装包或更新。
- 警惕异常文件: 检查你的电脑
TEMP文件夹中是否存在名为update.exe或AutoUpdater.exe的可疑文件。同时,留意gup.exe(官方更新程序)的活动是否异常。 - 检查版本来源: 确认你没有在使用非官方或被修改过的 Notepad++ 版本。
背景信息
这并非 Notepad++ 开发者首次与中国政府产生关联。2019年,Don Ho 曾发布一个名为“自由维吾尔”的版本以批评中国政府,随后其网站便遭遇了分布式拒绝服务(DDoS)攻击。