# Notepad++官方更新机制遭劫持向特定用户投放恶意软件

Notepad++的维护者披露，有国家支持背景的攻击者劫持了该工具的更新机制，将更新流量重定向到恶意服务器。

开发者Don Ho表示："此次攻击涉及基础设施层面的入侵，使恶意行为者能够拦截并重定向发往notepad-plus-plus.org的更新流量。入侵发生在托管服务商层面，而不是通过Notepad++代码本身的漏洞实现的。"

Ho补充说，具体的实现机制目前正在调查中。

此事发生在Notepad++发布8.8.9版本一个多月后。该版本旨在解决一个问题，即来自Notepad++更新程序WinGUp的流量"偶尔"被重定向到恶意域名，导致下载被污染的可执行文件。

具体来说，问题源于更新程序验证下载更新文件完整性和真实性的方式，这使得能够拦截更新客户端与更新服务器之间网络流量的攻击者可以欺骗工具下载不同的二进制文件。

据信，这种重定向具有高度针对性，只有来自特定用户的流量才会被路由到恶意服务器并获取恶意组件。据评估，该事件始于2025年6月，比曝光时间早了六个多月。

独立安全研究人员Kevin Beaumont透露，中国的威胁行为者正在利用该漏洞劫持网络并欺骗目标下载恶意软件。为应对这一安全事件，Notepad++网站已迁移到新的托管服务商。

Ho解释说："根据前托管服务商的说法，共享托管服务器在2025年9月2日之前一直处于被入侵状态。即使在失去服务器访问权限后，攻击者仍然保留了内部服务的凭证直到2025年12月2日，这使他们能够继续将Notepad++更新流量重定向到恶意服务器。"

Q&A

Q1：Notepad++更新机制是如何被劫持的？

A：攻击者在托管服务商层面入侵了基础设施，能够拦截并重定向发往notepad-plus-plus.org的更新流量到恶意服务器。问题源于更新程序WinGUp验证下载文件完整性和真实性的方式存在缺陷，攻击者可以欺骗工具下载恶意二进制文件。这不是Notepad++代码本身的漏洞。

Q2：Notepad++更新流量劫持事件影响了哪些用户？

A：这次攻击具有高度针对性，并非所有用户都受到影响。只有来自特定用户的流量才会被路由到恶意服务器并下载恶意组件。据独立安全研究人员透露，中国的威胁行为者正在利用该漏洞劫持网络并欺骗目标下载恶意软件。

Q3：Notepad++采取了什么措施应对更新劫持事件？

A：Notepad++在一个多月前发布了8.8.9版本来修复更新验证机制的问题。为应对安全事件，官方网站已从原托管服务商迁移到新的托管服务商。据前托管服务商称，共享托管服务器在2025年9月2日之前被入侵，攻击者保留内部服务凭证直到2025年12月2日。