在2025年2月2日,广受欢迎的开源文本编辑器Notepad++的开发者确认,该软件遭到与中共政府有关联的黑客攻击,黑客在2025年间悄然向用户推送了恶意更新。开发者Don Ho在其博客中指出,这场网络攻击可能始于2025年6月,并持续至12月,期间黑客利用了Notepad++更新的托管服务器,得以实施针对特定用户的攻击。
Ho提到,安全专家分析了恶意软件的特征和攻击方式,认为这次攻击的目标十分明确,显示出其高度的选择性。他表示,自2025年6月起,恶意行为者开始对“某些特定用户”发起攻击,并透露黑客在2025年9月2日之前能够访问更新服务器,而部分服务凭证则在2025年12月2日才被撤回。
为保护用户,Ho建议所有Notepad++用户立即下载版本8.9.1或更高版本,这些更新已修复了被黑客利用的漏洞,阻止了进一步的攻击。
Notepad++作为历史悠久的开源项目,迄今已有超过二十年的发展历程,其下载量超过数千万次,广泛应用于全球众多机构。尽管如此,目前尚不清楚有多少用户成为了此次攻击的目标,以及具体受影响的用户数量。
在一封电子邮件中,Ho表示他无法确定有多少恶意更新被下载,但他提到,此次攻击显然是蓄意的,说明并非所有用户都在同一时间内遭遇恶意更新。负责此次事件调查的Rapid7将这次黑客活动归咎于一个名为Lotus Blossom的间谍组织,该组织自2009年以来活跃于东南亚地区,主要攻击政府、电信、航空及媒体行业,近期也开始将目光投向中美洲。
美国网络安全和基础设施安全局(CISA)对此事件表示关注,确认已经开始对可能对美国政府造成的损失进行调查。
在Ho的博客中提到,托管服务商已经警告称,用于推送更新的服务器“可能已被入侵”,并且黑客专门针对与Notepad++相关的域名进行了攻击。分析表明,黑客组织利用其访问权限植入定制的后门程序,这使得他们能够交互式控制受感染的计算机,并通过这些计算机窃取数据。
网络安全研究员凯文·博蒙特在其博客中提到,近期有三个与东亚地区利益相关的组织发生了与Notepad++相关的安全事件。
此次安全漏洞事件令人联想到2020年的SolarWinds数据泄露事件,当时俄罗斯情报人员成功渗透该公司的系统,导致美国多个政府部门的系统瘫痪。然而,Notepad++与SolarWinds之间存在显著差异,前者是一个由单一开发者维护的开源项目,缺乏商业软件那样的安全基础设施,这进一步突显了开源软件在安全性方面的脆弱性。