热门Notepad++遭到与中共相关的黑客攻击

周一（2月2日），广受欢迎的开源文本编辑器Notepad++的开发商已确认，与中共政府有关联的黑客劫持该软件，并在2025年的几个月内向用户推送恶意更新。

Notepad++开发者Don Ho在周一发布的一篇博文中表示，此次网络攻击很可能是由与中共政府有关联的黑客在2025年6月至12月期间实施。他引用了多位安全专家对恶意软件有效载荷和攻击模式的分析。Ho表示，这“可以解释此次攻击活动中出现的高度选择性目标”。

博文写道，“恶意行为者”从2025年6月开始针对“某些特定用户”的更新进程发起攻击。据Ho说，黑客可以访问用于Notepad++更新的托管服务器直至2025年9月2日，但他们保留了部分托管服务的凭证直至2025年12月2日。

Notepad++用户应立即下载8.9.1或更高版本，该版本已修复被利用的漏洞并阻止了攻击途径。

Notepad++是历史最悠久的开源项目之一，至今已运行超过二十年，下载量至少达数千万次，其中包括来自世界各地机构的员工。

目前尚不清楚哪些Notepad++用户成为攻击目标，以及受影响的用户数量。

路透社报道，Ho在一封电子邮件中表示，他无法得知有多少恶意更新被下载。“我从调查中了解到，这次攻击具有高度选择性——并非所有用户在攻击期间都收到恶意更新，这表明这是一次蓄意攻击，而非大规模传播。”他说道。

负责调查此事件的Rapid7将此次黑客攻击归咎于Lotus Blossom，这是一个长期为中共工作的间谍组织。Rapid7指出，该组织自2009年以来一直活跃，攻击目标主要集中在东南亚的政府、电信、航空、关键基础设施和媒体行业，近期也开始关注中美洲地区。

路透社报道，美国网络安全和基础设施安全局（CISA）发言人表示，该机构“已获悉此次安全漏洞报告，并正在调查美国政府（USG）可能遭受的损失”。

Ho的博客中包含一条来自其主机托管商的消息，消息称用于向客户推送更新的服务器“可能已被入侵”，并且黑客专门针对与Notepad++相关的域名发起攻击。

分析显示，该黑客组织利用其访问权限植入一个定制的后门程序，使其能够交互式控制受感染的计算机，进而以此为跳板窃取数据并攻击其它计算机。

网络安全研究员凯文‧博蒙特（Kevin Beaumont）在2025年12月2日的一篇博文中表示，他了解到有三个“在东亚地区有利益关系”的组织，曾发生过可能与Notepad++相关的安全事件。

Notepad++此次安全漏洞事件让人联想到2020年震惊网络安全界的SolarWinds数据泄露事件。当时，俄罗斯情报人员渗透了该公司的构建系统，并在推送给财富500强客户和政府机构的软件更新中植入后门。此次攻击导致美国国土安全部、商务部、能源部、司法部和国务院的系统瘫痪，暴露了供应链攻击带来的灾难性风险。

但两者之间存在关键差异。SolarWinds是一家商业供应商，拥有企业客户并承担安全责任。而Notepad++则是一个开源项目，主要由一位开发者维护。这种资源上的差距凸显日益严重的安全危机——数百万用户依赖的关键开发工具往往缺乏商业软件那样的安全基础设施。