本篇文章更新時間:2026/02/03
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知。
一介資男的 LINE 社群開站囉!歡迎入群聊聊~
如果本站內容對你有幫助,歡迎使用 BFX Pay 加密貨幣 或 新台幣 贊助支持。
Notepad++ 遭國家級駭客劫持:從事件調查到軟體供應鏈的警訊
編輯前言:這篇官方揭露的調查報告,徹底說明了 Notepad++ 為何在 2025 年遭遇「更新機制被劫持」的重大事件。對任何依賴軟體更新機制的開發者或使用者來說,都是一堂寶貴的供應鏈安全課。
核心觀點 (Key Takeaways)
- 攻擊並非利用 Notepad++ 本身漏洞,而是「攻破主機商基礎設施」,攔截更新流量。
- 攻擊者具有高度針對性,多名安全研究者研判其為「中國國家級駭客團隊」。
- 事件發生時間長達半年以上(2025 年 6 月至 12 月 2 日)。
- Notepad++ 已全面更換主機服務、強化更新簽章與驗證機制,並建議用戶手動更新至 v8.9.1。
深入解析
這篇聲明源自 Notepad++ 官方網站的公告:Notepad++ Hijacked by State-Sponsored Hackers。作者在公告中坦白描述整個事件的始末,也清楚指出這是一場「供應鏈層級」的攻擊,而非單純的網站入侵。
公告中提到:
"The attack involved infrastructure-level compromise that allowed malicious actors to intercept and redirect update traffic…"
換句話說,攻擊者不是修改 Notepad++ 程式碼,而是利用主機商基礎設施的弱點,在某些特定使用者更新 Notepad++ 時,偷偷將其導向駭客控制的更新伺服器,進而下發「被植入惡意程式」的假更新。
官方也收到前主機商的完整調查報告,重要內容包含:
- 2025/6 起開始遭到攻擊,直到 9/2 前主機被實際控制。
- 即使失去伺服器存取權限,攻擊者仍持有內部服務憑證,延續影響至 12/2。
- 攻擊者只針對 Notepad++ 網域,顯示目標明確且具有任務導向性。
- 主機商後續更新 kernel/firmware、重置所有憑證,並未觀察到其他客戶受影響。
官方補充,這次駭侵手法也與多位獨立研究員的分析一致:高度針對性、時間長、滲透深,因此被推估為中國國家級團隊所為。
強化措施
為避免再次發生類似事件,Notepad++ 採取幾項重大改動:
- 網站遷移至安全性更高的主機商。
- 更新機制 WinGup 在 v8.8.9 增加憑證與數位簽章驗證。
- 更新伺服器回傳的 XML 現已導入 XMLDSig,並將在 v8.9.2 強制驗證。
- 官方建議所有用戶手動更新至 v8.9.1。
值得注意的是,官方最終無法提供 IoC(Indicators of Compromise),因為雖然 400GB 的主機記錄檔裡找到入侵跡象,但沒有具體可以共享的惡意檔案雜湊、IP、Domain 等資訊。直到 Rapid7 的調查後,外部研究團隊才補上更多證據。
筆者心得與啟發
這篇公告讓我最震撼的部分,不是攻擊本身,而是「供應鏈攻擊的現實性」。我們常以為只要軟體本身沒有漏洞就夠安全,但這次事件再次證明:
- 攻擊者不需要攻破軟體,他們只要攻破你的更新鏈。
- 主機商、流量路徑、數位簽章都是同樣重要的攻擊面。
從使用者角度,我覺得值得深思的有:
- 遇到重要軟體更新機制時,簽章驗證不是選項,而是必須。
- 開發者應定期審查自己的基礎設施,不要完全依賴主機商的安全假設。
- 像 Notepad++ 這種長年開源維護的專案,反而常成為國家級攻擊者的目標,因為它的更新路徑常被視為低防護區域。
最後,我很欣賞作者願意透明披露調查細節,這是 OSS 生態中難能可貴的態度。事件雖然嚴重,但 Notepad++ 強化更新機制後,未來會變得更安全也更值得信任。