流行的开源文本编辑器Notepad++披露了一起复杂的供应链攻击事件,该攻击使疑似中国国家支持的黑客能够在2025年6月至12月期间劫持其更新机制并向目标用户分发恶意软件。本周发布的安全公告详细描述了这一事件,在开发者社区引起轩然大波,因为数百万人依赖这款轻量级代码编辑器进行日常编程工作。
根据披露,攻击者入侵了托管服务提供商的基础设施而非Notepad++代码库本身,使他们能够拦截并重定向发往notepad-plus-plus.org的更新流量。公告指出,来自某些目标用户的流量被有选择性地重定向到攻击者控制的服务器,这些服务器提供恶意更新清单,导致受害者系统下载了受损的可执行文件而非合法更新。
安全研究员凯文·博蒙特率先报告了影响Notepad++用户的异常活动,他指出攻击专门针对东亚的电信和金融服务公司。博蒙特观察到受害者是在东亚有利益的组织,活动看起来非常有针对性,键盘侦察活动大约在两个月前开始。多位独立安全研究人员评估认为,威胁行为者很可能是一个中国国家支持的团体,这可以解释在此次活动中观察到的高度选择性目标定位。
攻击时间线显示,恶意行为者最初于2025年6月获得了共享托管服务器的访问权限。尽管服务器在9月2日进行了内核和固件更新的计划维护从而切断了直接服务器访问,但攻击者仍保留了内部服务的被盗凭据直至12月2日,使他们能够继续将更新流量重定向到受损服务器。托管服务提供商于2025年12月2日完成了所有补救和安全加固措施。
作为回应,Notepad++已迁移至安全实践更加强大的新托管服务提供商,并发布了包含关键安全增强功能的8.8.9版本。WinGUp更新组件现在会验证下载安装程序的证书和签名,XML更新清单使用XMLDSig进行数字签名。从即将发布的8.9.2版本开始,证书和签名验证将成为强制性要求。强烈建议用户立即更新并删除之前安装的任何Notepad++根证书,因为最新版本现在使用GlobalSign颁发的证书。此次事件再次提醒开发者社区关注软件供应链安全的重要性。
评论