Notepad++开发者Don Ho证实,黑客在2025年几个月劫持了该软件的更新机制。这次攻击发生在2025年6月至12月之间,Ho将其归因于与中国政府有关的黑客。他引用了安全专家对恶意软件有效负载和攻击模式进行的分析,指出这解释了该活动期间针对目标的高度选择性。
Rapid7 调查了该事件,并确定威胁行为者为 Lotus Blossom,这是一个与中国有联系的长期间谍组织。该组织的目标是政府、电信、航空、关键基础设施和媒体部门。 Notepad++ 是一种流行的开源文本编辑器,拥有二十多年的历史,在全球范围内有数千万次下载,其中包括全球组织的员工。
安全研究员 Kevin Beaumont 在 2025 年 12 月首次发现网络攻击。他报告称,在用户安装该软件的受感染版本后,黑客入侵了少数在东亚有利益的组织。博蒙特表示,攻击者“亲自”访问了运行被劫持的 Notepad++ 更新的受害者计算机。
Ho 在周一发布的博客文章中详细介绍了攻击机制。 Notepad++ 的网站托管在共享服务器上。攻击者专门针对 Web 域,利用软件错误将某些用户重定向到黑客控制的恶意服务器。这使得向请求软件更新的用户发送恶意更新成为可能。重定向一直持续到 Ho 在 2025 年 11 月修复了该错误,并于 2025 年 12 月初终止了黑客的访问。
Ho 分享的日志显示,攻击者试图重新利用已修复的漏洞,但在修补后失败了。 Ho 在给 TechCrunch 的一封电子邮件中表示,他的托管提供商确认共享服务器遭到入侵,但没有透露最初的违规行为是如何发生的。
Ho 对此事件表示歉意,并敦促用户下载最新版本的 Notepad++,其中包含错误修复。
Notepad++ 网络攻击类似于 2019-2020 年 SolarWinds 漏洞。俄罗斯政府间谍入侵了 SolarWinds 的服务器,并在财富 500 强组织(包括美国政府部门)使用的 IT 和网络管理工具的软件更新中植入了后门。此次妥协影响了国土安全部以及商务部、能源部、司法部和国务院等机构。一旦客户安装了受污染的更新,后门就允许俄罗斯间谍访问网络。
<小时/>
