知名文字編輯器Notepad++維護者指出,內建自動更新元件WinGUp的更新流量曾遭攔截並被重新導向,少數遭鎖定的用戶在更新過程中可能因此下載到遭竄改的安裝程式。Notepad++在v8.8.9起強化更新驗證,下載後會同時檢查安裝程式的數位簽章與憑證,任一驗證失敗即中止更新。
在官方發布的調查說明中,維護者表示事件並非透過Notepad++程式碼本身的漏洞被入侵,而是發生在網站託管環境的基礎設施層。與維護者合作的外部資安專家研判,攻擊者可能在主機服務商端選擇性攔截並重新導向部分更新請求,使特定目標被導向攻擊者控制的伺服器,再回傳遭操弄的更新描述檔。維護者引述多名研究人員評估,該行動可能與中國相關的攻擊者有關。
維護者指出,異常活動從2025年6月開始。原主機服務商與事件應變團隊檢視紀錄後認為,伺服器層級的可疑存取可能持續到2025年9月2日,維護者也提到,攻擊者可能在失去主機存取後仍握有部分內部服務憑證,最晚可能影響到2025年12月2日左右。另有外部專家評估惡意活動可能在2025年11月10日左右已停止,因此維護者以2025年6月到12月2日作為風險期間的估算範圍。
Notepad++網站目前已搬遷到新的主機服務商,並改善更新機制。除了v8.8.9開始的安裝檔驗簽與憑證檢查外,維護者也表示更新伺服器回傳的更新描述檔已加入數位簽章,並規畫在後續版本開始強制驗證,以降低內容遭竄改的空間。維護者同時提醒,Notepad++自v8.8.7起已改以GlobalSign簽發的正式憑證進行程式簽署,因此不再需要安裝Notepad++自建的根憑證,曾安裝的用戶應考慮移除。
維護者對受影響用戶致歉,並呼籲仍在使用舊版的使用者儘速升級到v8.8.9以上版本,要是過去一段時間曾透過自動更新安裝,且觀察到系統出現異常行為,應依各組織既有資安流程進一步檢視與處置。
熱門新聞
2026-02-01
2026-01-30
2026-01-30
