开源代码编辑器Notepad++的官方网站确认,其更新系统遭到国家背景黑客的攻击,该攻击利用了托管服务商的基础设施漏洞,而非编辑器代码本身的缺陷。此次安全事件的调查结果于2026年2月2日披露,攻击者成功截获并重定向了针对该网站的更新流量,持续了数月之久。
根据安全专家的分析,此次攻击始于2025年6月,攻击者通过渗透共享主机服务器,得以在特定目标用户更新时,将其导向恶意更新清单。多位独立安全研究人员评估认为,这次高度选择性的攻击活动很可能指向一个中国政府支持的组织,这解释了其精准的攻击目标定位。
托管服务商的详细声明指出,受影响的服务器在2025年9月2日内核和固件更新后,攻击者失去了对服务器本身的直接访问权限。然而,攻击者直到2025年12月2日才完全丧失对内部服务的凭证控制,这段时间他们仍能将部分流量重定向至恶意服务器,提供被篡改的下载链接。
安全团队综合评估认为,整个恶意活动窗口期从2025年6月持续到12月2日,此后所有攻击者访问被明确终止。为解决此供应链风险,Notepad++已迁移至安全实践更严格的新托管平台,并在v8.8.9版本中增强了更新器WinGup的验证能力。
核心的修复措施包括对下载安装程序的证书和签名进行双重验证,以及对更新服务器返回的XML文件实施XMLDSig签名保护。预计在接下来的v8.9.2版本中,系统将强制执行这些新的签名验证,从而杜绝此类中间人攻击。
尽管托管服务商和安全专家对攻击终结时间存在细微差异,但所有相关安全隐患已在2025年12月前得到处理。项目维护者建议受影响用户立即手动下载并安装v8.9.1版本,以确保获得关键的安全增强功能。
