Notepad++ 更新機制遭中國駭客劫持長達六個月，鎖定東亞電信與金融業者

開源程式碼編輯器 Notepad++ 的軟體更新機制遭到疑似中國國家級駭客劫持，攻擊者透過入侵託管服務商的基礎設施，將特定用戶的更新流量導向惡意伺服器，藉此投放惡意程式。這起供應鏈攻擊自 2025 年 6 月持續至 12 月，歷時近六個月，主要鎖定東亞地區的電信與金融服務業者。

託管商層級遭滲透，更新流量遭選擇性劫持

Notepad++ 主要維護者 Don Ho 近日在官方部落格揭露此事件。他表示，這起攻擊發生在託管服務商的基礎設施層級，而非 Notepad++ 程式碼本身存在漏洞。攻擊者成功入侵託管 Notepad++ 更新程式 WinGUp 的第三方伺服器後，選擇性地將來自特定目標用戶的更新流量，重新導向至攻擊者控制的伺服器，進而派送惡意執行檔。

根據調查，攻擊者於 2025 年 6 月取得第三方託管伺服器的存取權限，並在 6 月至 9 月期間悄悄執行流量劫持行動。9 月 2 日，該伺服器因例行維護而更新韌體與核心元件，攻擊者因此失去直接存取權限。然而，攻擊者仍持有有效的登入憑證，持續利用這些憑證將 Notepad++ 的更新流量導向惡意伺服器，直至 12 月 2 日才被發現並阻斷。

攻擊手法繞過傳統端點防護

資安業者 BeyondTrust 首席資安顧問 Morey Haber 指出，一旦更新程式遭到劫持，威脅行為者便成為受信任執行路徑的一部分。這使得攻擊者能夠以與合法軟體安裝相同的權限投放遭竄改的更新，進而繞過本機端的安全控管機制。

Haber 進一步說明，透過操縱更新機制並將流量重新導向惡意伺服器，攻擊者得以繞過端點安全控制與內容過濾等傳統防禦措施。一旦成功滲透目標網路，攻擊者便可執行偵察、憑證竊取、橫向移動、建立持久性存取，甚至進行資料外洩等行動。

威脅歸因：多家資安業者指向中國國家級駭客

獨立資安研究員 Kevin Beaumont 最先揭露數起與 Notepad++ 相關的入侵事件，並將此攻擊歸因於中國國家級進階持續性威脅（APT）組織 Violet Typhoon，該組織亦被追蹤為 APT31 或 Zirconium。據 Beaumont 的分析，攻擊目標包括對中國具有戰略價值的金融服務公司與電信業者。

另一方面，資安業者 Rapid7 則將此供應鏈攻擊歸因於另一個與中國有關的 APT 組織 Lotus Blossom。Rapid7 惡意程式分析師 Ivan Feigl 在週一發布的分析報告中，詳細說明該威脅組織如何透過這起供應鏈攻擊部署一款先前未被記錄的客製化後門程式，並將其命名為 Chrysalis。

目前確切的攻擊歸因仍在調查中，但兩份分析均指向中國國家級駭客組織。

Notepad++ 官方強化更新機制安全性

事件曝光後，Notepad++ 專案團隊已採取多項補救措施。首先，官方網站已遷移至具備更強安全防護的新託管服務商。在軟體層面，Notepad++ 發布了新版 WinGUp 更新程式，新增驗證機制以確認下載的更新檔案是否成功完成、是否由 Notepad++ 官方簽署，以及是否透過有效的安全憑證傳遞。

此外，更新伺服器現在會對發送給用戶端的更新指令進行數位簽章，使攻擊者更難在傳輸過程中竄改內容。自 8.9.2 版本起，Notepad++ 將嚴格執行這些驗證檢查，更新程式將拒絕安裝任何未通過驗證的檔案。

企業應重新檢視軟體更新信任模型

Black Duck 解決方案管理資深總監 Collin Hogue-Spears 指出，APT31 繞過了業界在 SolarWinds 事件後部署的所有建置流程防禦措施。攻擊者並未觸及 Notepad++ 原始碼、未入侵建置流程、也未破壞任何簽章機制，而是潛伏在託管服務商內部長達六個月，依據 IP 範圍篩選更新請求，精準地向東亞電信與金融目標投放木馬化安裝程式，同時讓其他數百萬用戶下載到乾淨的版本。

Hogue-Spears 強調，軟體供應鏈已從開發流程轉變為潛在的風險管道，而這起攻擊正是利用了多數組織尚未納入監控的環節：從供應商簽署的二進位檔案到企業端點之間的傳輸路徑。他建議企業應停止將來自合法網域的更新視為可信任，自動更新程式本質上就是遠端程式碼執行的管道。企業應禁止開發工具直接連線至網際網路進行更新，強制透過內部儲存庫重新驗證供應商的程式碼簽章憑證，並阻擋任何非預期發布者簽署的內容。

Haber 也建議企業採取其他措施以降低透過軟體更新基礎設施遭入侵的風險，包括：強制執行嚴格的更新加密驗證（含簽章清單與二進位檔案雜湊值）、確保更新行為符合預期、審查託管與內容分發商的安全實務，以及針對受信任程序與路徑執行定期威脅獵捕。