Notepad++ 更新機制遭具國家背景的攻擊者劫持 https://notepad-plus-plus.org/news/hijacked-incident-info-update/ 😱
Notepad++ 官方在延續 v8.8.9 的資安揭露後更新調查結果,指出這起「被疑似國家級駭客劫持」事件的攻擊點在共享主機商的基礎設施層,而非 Notepad++ 程式碼本身的弱點。攻擊者能在特定條件下攔截並重導原本要到 notepad-plus-plus.org 的更新請求,對被鎖定的使用者回傳惡意更新清單(update manifest),再把下載導向攻擊者控制的主機,藉此散布被動手腳的更新安裝檔。由於鎖定對象高度選擇性,研究人員研判幕後可能是中國國家級駭客團體,事件最早可追溯到 2025 年 6 月。
前主機商提供的紀錄顯示,承載更新端點的共享伺服器在 2025 年 9 月 2 日前可能遭入侵;該日進行包含 kernel 與 firmware 更新的維護後,疑似已中斷攻擊者對伺服器本體的存取。但主機商也承認,攻擊者仍可能保有伺服器上的內部服務憑證直到 2025 年 12 月 2 日,使其得以把部分更新流量重導到外部伺服器並回傳遭竄改的下載網址。主機商稱未見其他同機客戶遭鎖定,攻擊者是針對 Notepad++ 網域下手,並意圖利用舊版更新驗證控管不足;後續已修補可能被用來針對 Notepad++ 的弱點、輪替相關憑證並全面稽核其他主機。由於外部專家判定攻擊在 11 月 10 日已停止,但主機商推估仍可能影響到 12 月 2 日,作者綜合兩者把整體風險期間估為 2025 年 6 月至 12 月 2 日。
為善後與強化防護,Notepad++ 網站已移轉到新的主機商,宣稱具備更強的資安作法;軟體端則在 v8.8.9 強化 WinGup 更新器,新增對下載安裝檔進行憑證與數位簽章驗證,並將更新伺服器回傳的 XML 以 XMLDSig (XML Digital Signature,XML 數位簽章) 簽署,預計在約一個月後的 v8.9.2 起強制驗證。主機商也建議若先前尚未處理,應更換 SSH (Secure Shell,遠端登入協定)、FTP (File Transfer Protocol,檔案傳輸協定)/SFTP (SSH File Transfer Protocol,基於 SSH 的檔案傳輸) 與 MySQL (關聯式資料庫) 等憑證,並檢查 WordPress 管理者帳號、更新 WordPress 外掛與佈景主題及核心版本、視情況開啟自動更新。
Hacker News 討論串多數把這起事件視為典型「供應鏈攻擊」(透過更新機制把惡意內容送進終端環境),擔憂使用者在 Notepad++ 內開啟的機密是否可能被監看或外流,也質疑公告對「哪些人被鎖定、如何被鎖定」仍偏模糊,並呼籲公開主機商名稱以利風險辨識。也有人推測動機可能與 Notepad++ 過去在版本公告中高調談及台灣、烏克蘭、維吾爾等政治議題有關。技術面則出現對更新驗證的辯論:有人主張簽章驗證應與不同伺服器分離,但也有人反駁更關鍵的是把開發者公鑰內建在軟體內、私鑰以 HSM (Hardware Security Module,硬體安全模組) 保護並具備撤銷或告警機制,單純多一台伺服器提升有限;另有人建議改用套件管理工具可降低內建更新器遭劫持的風險(但安裝檔本身仍可能成為目標)。此外也有人追問既然更新端點是 HTTPS,為何仍能重導,凸顯即使有 TLS (Transport Layer Security,傳輸層安全) 加密,只要攻擊者控制了供應端的主機或回應內容,使用者端依然可能在「看似安全的連線」下被餵送惡意更新。
https://news.ycombinator.com/item?id=46851548
Notepad++ 官方在延續 v8.8.9 的資安揭露後更新調查結果,指出這起「被疑似國家級駭客劫持」事件的攻擊點在共享主機商的基礎設施層,而非 Notepad++ 程式碼本身的弱點。攻擊者能在特定條件下攔截並重導原本要到 notepad-plus-plus.org 的更新請求,對被鎖定的使用者回傳惡意更新清單(update manifest),再把下載導向攻擊者控制的主機,藉此散布被動手腳的更新安裝檔。由於鎖定對象高度選擇性,研究人員研判幕後可能是中國國家級駭客團體,事件最早可追溯到 2025 年 6 月。
前主機商提供的紀錄顯示,承載更新端點的共享伺服器在 2025 年 9 月 2 日前可能遭入侵;該日進行包含 kernel 與 firmware 更新的維護後,疑似已中斷攻擊者對伺服器本體的存取。但主機商也承認,攻擊者仍可能保有伺服器上的內部服務憑證直到 2025 年 12 月 2 日,使其得以把部分更新流量重導到外部伺服器並回傳遭竄改的下載網址。主機商稱未見其他同機客戶遭鎖定,攻擊者是針對 Notepad++ 網域下手,並意圖利用舊版更新驗證控管不足;後續已修補可能被用來針對 Notepad++ 的弱點、輪替相關憑證並全面稽核其他主機。由於外部專家判定攻擊在 11 月 10 日已停止,但主機商推估仍可能影響到 12 月 2 日,作者綜合兩者把整體風險期間估為 2025 年 6 月至 12 月 2 日。
為善後與強化防護,Notepad++ 網站已移轉到新的主機商,宣稱具備更強的資安作法;軟體端則在 v8.8.9 強化 WinGup 更新器,新增對下載安裝檔進行憑證與數位簽章驗證,並將更新伺服器回傳的 XML 以 XMLDSig (XML Digital Signature,XML 數位簽章) 簽署,預計在約一個月後的 v8.9.2 起強制驗證。主機商也建議若先前尚未處理,應更換 SSH (Secure Shell,遠端登入協定)、FTP (File Transfer Protocol,檔案傳輸協定)/SFTP (SSH File Transfer Protocol,基於 SSH 的檔案傳輸) 與 MySQL (關聯式資料庫) 等憑證,並檢查 WordPress 管理者帳號、更新 WordPress 外掛與佈景主題及核心版本、視情況開啟自動更新。
Hacker News 討論串多數把這起事件視為典型「供應鏈攻擊」(透過更新機制把惡意內容送進終端環境),擔憂使用者在 Notepad++ 內開啟的機密是否可能被監看或外流,也質疑公告對「哪些人被鎖定、如何被鎖定」仍偏模糊,並呼籲公開主機商名稱以利風險辨識。也有人推測動機可能與 Notepad++ 過去在版本公告中高調談及台灣、烏克蘭、維吾爾等政治議題有關。技術面則出現對更新驗證的辯論:有人主張簽章驗證應與不同伺服器分離,但也有人反駁更關鍵的是把開發者公鑰內建在軟體內、私鑰以 HSM (Hardware Security Module,硬體安全模組) 保護並具備撤銷或告警機制,單純多一台伺服器提升有限;另有人建議改用套件管理工具可降低內建更新器遭劫持的風險(但安裝檔本身仍可能成為目標)。此外也有人追問既然更新端點是 HTTPS,為何仍能重導,凸顯即使有 TLS (Transport Layer Security,傳輸層安全) 加密,只要攻擊者控制了供應端的主機或回應內容,使用者端依然可能在「看似安全的連線」下被餵送惡意更新。
https://news.ycombinator.com/item?id=46851548
