Notepad++修复劫持更新机制被利用投递定向恶意软件漏洞

Notepad++发布了安全修复程序，修补了被中国高级威胁行为者利用的漏洞，该漏洞被用于劫持软件更新机制，选择性地向目标用户投递恶意软件。

版本8.9.2更新采用了维护者Don Ho称之为"双重锁定"的设计，旨在使更新过程"稳健且有效防止被利用"。这包括验证从GitHub下载的已签名安装程序（在版本8.8.9及更高版本中实现），以及新增的验证由notepad-plus-plus[.]org更新服务器返回的已签名XML功能。

除了这些增强功能外，自动更新组件WinGUp还引入了针对安全的更改：

移除libcurl.dll以消除DLL侧载风险

移除两个不安全的cURL SSL选项：CURLSSLOPT_ALLOW_BEAST和CURLSSLOPT_NO_REVOKE

将插件管理执行限制为仅使用与WinGUp相同证书签名的程序

此次更新还修复了一个高严重性漏洞（CVE-2026-25926，CVSS评分：7.3），该漏洞可能导致在运行应用程序的上下文中执行任意代码。

Ho表示："在没有绝对可执行文件路径的情况下启动Windows资源管理器时，存在不安全搜索路径漏洞（CWE-426）。如果攻击者能够控制进程工作目录，这可能允许执行恶意的explorer.exe。在某些条件下，这可能导致在运行应用程序的上下文中执行任意代码。"

此次开发是在Notepad++披露托管提供商级别的安全漏洞几周后进行的，该漏洞使威胁行为者能够从2025年6月开始劫持更新流量，并将某些用户的请求重定向到恶意服务器以提供被篡改的更新。该问题于2025年12月初被发现。

根据Rapid7和卡巴斯基的报告，被篡改的更新使攻击者能够投递一个此前未记录的后门程序，名为Chrysalis。这起供应链事件被跟踪为CVE标识符CVE-2025-15556（CVSS评分：7.7），已被归因于名为Lotus Panda的中国关联黑客组织。

建议Notepad++用户更新到版本8.9.2，并确保从官方域名下载安装程序。

Q&A

Q1：Notepad++的"双重锁定"设计是什么？

A：双重锁定设计是Notepad++在8.9.2版本中采用的安全机制，包括验证从GitHub下载的已签名安装程序以及验证更新服务器返回的已签名XML，目的是使更新过程更加稳健且有效防止被利用。

Q2：CVE-2026-25926漏洞会造成什么影响？

A：这是一个高严重性漏洞，CVSS评分为7.3，属于不安全搜索路径漏洞。当在没有绝对可执行文件路径的情况下启动Windows资源管理器时，如果攻击者能够控制进程工作目录，可能导致在运行应用程序的上下文中执行任意代码。

Q3：Lotus Panda组织是如何攻击Notepad++的？

A：Lotus Panda是一个中国关联的黑客组织，他们通过托管提供商级别的安全漏洞，从2025年6月开始劫持Notepad++的更新流量，将某些用户的请求重定向到恶意服务器，投递名为Chrysalis的后门程序。