【資安週報】0202~0206，中國駭客發動Notepad++軟體供應鏈攻擊，菲律賓、越南、臺灣等東亞多國均有特定目標遭鎖定

【資安新聞編輯室報告】這一星期，軟體供應鏈攻擊的接連爆發成為市場焦點，供應鏈目標包含知名開放原始碼文字編輯器軟體Notepad++，以及印度防毒軟體eScan。

其中Notepad++事件尤為引人注目，根據軟體維護者與資安公司Rapid7、卡巴斯基的調查結果，該攻擊研判由中國駭客組織發起。更值得關注的是，調查顯示臺灣亦被列為鎖定目標，引發國內高度戒備。我們在此整理3起揭露的重點：
（一）Notepad++維護者揭露其自動更新遭挾持，由於駭客直攻主機商底層設施，且精準重新導向特定對象的流量，此手法引發高度關注，同時查出攻擊活動最早可追溯至去年6月。另被揭露CVE-2025-15556漏洞。
（二）Rapid7調查報告指出是中國駭客組織Lotus Blossom所為，主要目的散布後門程式Chrysalis，據遙測資料，包括臺灣、日本、中國均有使用者遭到鎖定。
（三）卡巴斯基揭露具體影響，指出駭客透過更新植入容量為1 MB的惡意NSIS檔、企圖蒐集資料，並藉ProShow.exe啟動酬載，確認目標後植入Chrysalis後門。目前逾十臺電腦受害，針對性極強，範圍涵蓋菲國政府、薩國金融及越南IT業。同時提及9月底臺灣用戶亦察覺異常，將樣本上傳至VirusTotal。

另一起供應鏈攻擊事件，發生在印度資安業者MicroWorld旗下的eScan防毒軟體，其更新伺服器遭入侵2小時，導致用戶在這期間更新時，下載到經過竄改的惡意更新內容。由於防毒工具遭駭客利用並淪為惡意軟體散布管道，引發業界高度關注。

驊陞、勝德相繼發布資安重訊

在資安事故方面，國內有兩家上市公司發布重訊說明資安事故，一是連接器與線纜供應商驊陞科技表示，收到資訊系統遭受惡意軟體攻擊訊息，而我們進一步追查發現，駭客組織Gentlemen聲稱該公司是其受害者；一是勝德國際研發表示部分資訊系統遭駭客網路攻擊。

國際間也傳出HP旗下視訊與語音會議方案Poly資料遭竊，勒索軟體組織Everest聲稱是其所為，以及金融軟體服務供應商Marquis去年8月遭勒索軟體攻擊，近期告知客戶是因為MySonicWall防火牆組態備份檔未經授權存取，SonicWall則要求佐證。還有義大利政府指控俄國駭客攻擊冬奧網站與大使館，親俄駭客組織NoName057宣稱是其所為。

駭客組織ShinyHunters威脅擴大

在威脅態勢上，有一項消息備受臺灣民眾關注，是中國駭客正假借LINE安裝程式名義散布惡意軟體ValleyRAT，發現此狀況的資安公司Cybereason呼籲使用者要提高警覺，企業也要根據相關特徵來防堵駭客的活動。

駭客組織ShinyHunters的消息屢屢登上新聞版面，無論其引發的資安事故，或資安公司揭露其威脅動向，屢屢成為資安界的焦點。我們整理如下：
●網路約會App開發商Match Group遭駭，ShinyHunters聲稱透過第三方平臺AppsFlyer入侵，取得Hinge、Match與OkCupid用戶資料逾千萬筆。
●ShinyHunters公布哈佛、賓州大學百萬名人員的個資，由於2025年Cl0p勒索軟體組織曾利用Oracle EBS漏洞攻擊這兩校，這兩次外洩事件是否為同一波或相關攻擊，目前仍在調查中。
●威脅情資公司Silent Push示警，指出網路犯罪聯盟Scattered Lapsus$ Hunters正針對上百家企業發動大規模語音網釣，其目標涵蓋Atlassian、Canva、Moderna、WeWork等知名組織。
●Google揭露ShinyHunters正擴大攻擊，指出至少3組人馬UNC6661、UNC6671、UNC6240參與，1月上旬一起案例，駭客假冒IT人員，以更新MFA為由誘騙員工至釣魚網站，藉此竊取SSO與MFA碼，進而入侵SaaS服務並竊取資料。

還有大型語言模型框架Ollama主機曝險的消息，在本星期成為熱門新聞之一。有兩家資安業者聯合調查發現，全球約有17.5萬臺Ollama主機曝險，原因包括用戶將原本預設的本機執行變更為公開網路介面，卻未啟用任何驗證機制或網路隔離等。研究人員示警，這些資源恐被濫用，如發送釣魚郵件、隱匿身分或繞過安全防護。

駭客鎖定近期已知漏洞，針對未修補用戶攻擊

在資安漏洞消息方面，這一星期3則重要新聞顯示，攻擊者正利用近期的已知漏洞鎖定未更新用戶，突顯及時修補的重要性。
●開源IP PBX管理系統FreePBX去年11月修補的漏洞CVE-2025-64328，資安公司Fortinet在1月底揭露開始有攻擊者利用此漏洞，並發現攻擊者使用名為EncystPHP的Web Shell。
●NPM套件React Native Community CLI在去年11月修補漏洞CVE-2025-11953，如今資安公司VulnCheck揭露自12月下旬發現攻擊跡象，並因影響Metro伺服器而將其命名為Metro4Shell。
●SolarWinds在1月底才修補Web Help Desk的漏洞CVE-2025-4055，相隔6天就被美國CISA列入KEV清單，顯示攻擊者積極鎖定未修補用戶發動攻擊的態勢。

還有2個老舊漏洞被列入CISA的KEV清單，包括GitLab的漏洞CVE-2021-39935，FreePBX的漏洞CVE-2019-19006。

【2月2日】駭客組織ShinyHunters聲稱竊得約會App開發商逾千萬筆個資

繼資安公司Silent Push針對網路犯罪聯盟Scattered Lapsus$ Hunters（SLSH）大規模活動提出警告，近日參與該聯盟的駭客團體ShinyHunters聲稱，他們從約會App開發商Match Group竊得大批個資，由於這些個資往往包含個人興趣、喜好，甚至可能有性取向等敏感個資，一旦外流，可能對用戶帶來更嚴重的傷害。

【2月3日】Clawdbot延伸套件市集出現逾300個惡意套件，駭客意圖散布竊資軟體

繼駭客不斷透過NPM、PyPI、GitHub上架惡意套件，近期爆紅的Clawdbot（現更名為OpenClaw）也無法倖免，資安社群平臺Open Source Malware與資安公司Koi Security發現，有人藉由延伸套件市集ClawHub散布竊資軟體。

【2月4日】中國駭客透過Notepad++基礎設施從事目標式攻擊，在臺灣等地散布後門

針對日前Notepad++開發工程團隊揭露的供應鏈攻擊事故，資安公司Rapid7揭露更多細節，指出這起事故是中國駭客Lotus Blossom（Billbug、Thrip）所為，目的是透過Notepad++基礎設施散布散布後門程式Chrysalis。

【2月5日】與APT41有關的中國駭客利用WinRAR漏洞在東南亞從事網路間諜活動

資安公司Check Point提出警告，他們發現於去年3月開始活動的中國APT駭客組織Amaranth-Dragon，在WinRAR路徑遍歷漏洞CVE-2025-8088出現概念驗證工具後，不到一週就掌握該漏洞，並用於實際攻擊行動。

【2月6日】中國駭客假借提供LINE安裝程式散布惡意軟體ValleyRAT

去年有資安公司警告有人鎖定臺灣架設假網站，試圖藉由提供LINE安裝程式散布木馬，近期有資安業者發現，他們看到中國駭客在過去一年，利用類似的攻擊手法對簡體中文用戶下手，散布惡意程式ValleyRAT（Winos 4.0）。