知名代码和文本编辑器Notepad++的用户可能在不知情的情况下,下载了包含恶意代码的更新包,原因在于该应用的托管服务器在去年遭到了入侵。Notepad++的开发者Don Ho在周一发布了详细信息,指出此次攻击的黑客“很可能是一个中国国家支持的团体”,且服务器易受攻击的时间段约为六个月,从六月持续到十二月二日。
此次劫持事件发生在应用未公开名称的前托管服务商端,攻击者选择性地将部分目标用户的流量重定向至其控制的服务器,用以分发恶意更新清单。根据独立网络安全专家Kevin Beaumont的分析,当用户被重定向时,应用更新可能被替换为恶意可执行文件,该文件可能授予黑客对受害者键盘的远程访问权限。
Don Ho的声明强调,攻击者在受害者重定向方面进行的是“高度选择性的针对性攻击”。Kevin Beaumont观察到,受影响的用户群体主要集中在“对东亚有利益的组织”,这表明攻击者的目的并非广泛撒网,而是精准锁定特定目标。
尽管这是一次重大的安全漏洞事件,但其高度针对性的性质可能限制了潜在的广泛影响范围。开发者表示,所有攻击者访问权限已在十二月二日被明确终止,但并未说明何时首次发现此次入侵。
为应对此类威胁,Notepad++的更新程序已部署了更强的安全措施,以检测篡改并验证更新的合法性。用户被建议立即更新至8.8.9或更高版本,该版本已修复了此次劫持带来的漏洞,并建议直接从官方网站下载。
此外,Kevin Beaumont建议用户仔细检查是否在使用非官方版本的Notepad++,并密切关注应用程序更新程序“gup.exe”的活动。用户还应检查其TEMP文件夹中是否存在可疑的“update.exe”或“AutoUpdater.exe”文件,以排除残留的恶意组件。
值得注意的是,Notepad++开发者Don Ho曾在2019年发布过一个名为“自由维吾尔”的更新版本,并公开批评过中国政府,当时其网站曾遭受DDoS攻击作为回应,这为此次安全事件增添了地缘政治的背景色彩。
