【导语】

开源文本编辑器Notepad++的开发者表示，2025年间该软件的更新机制遭黑客长期劫持，部分用户在数月内被推送了被篡改的恶意版本。安全公司和研究人员将此次行动与一个被指长期为中国工作的网络间谍组织联系在一起。

开发者确认更新机制遭劫持

Notepad++开发者 Don Ho 在周一发布的博客文章中确认，黑客在 2025 年数月内成功利用其软件更新机制向用户分发恶意更新。他表示，根据多名安全专家对恶意软件载荷及攻击模式的分析，这次攻击“很可能”发生在 2025 年 6 月至 12 月之间。

Ho 在文中称，相关分析显示攻击者与中国政府有关联，并表示这种背景“可以解释此次行动中高度选择性的目标定位”。

Notepad++是一个已有二十多年历史的开源文本编辑器项目，累计下载量达数千万次，用户遍布全球各类组织。

安全公司指向“莲花”组织

参与调查的安全公司 Rapid7 将此次攻击归因于“莲花”（Lotus Blossom）组织。该组织被描述为一个长期为中国工作的间谍团体，其既往攻击目标包括政府机构、电信运营商、航空企业、关键基础设施以及媒体等领域。

最早发现此次攻击的是安全研究员 Kevin Beaumont。他在 12 月发布的报告中指出，攻击者通过被篡改的流行软件版本，入侵了数量有限、但“对东亚有利益关系”的组织。Beaumont 表示，黑客能够“亲自操作”运行被劫持版本 Notepad++ 的受害者计算机。

攻击路径与漏洞修复

Ho 在博客中披露了部分技术细节。他称，Notepad++ 网站托管在一台共享服务器上，攻击者“专门针对”Notepad++ 的域名实施攻击。根据他的说法，黑客利用软件中的漏洞，将部分访问该网站的用户重定向至由其控制的恶意服务器。

通过这一方式，攻击者得以向请求软件更新的特定用户推送恶意更新。Ho 表示，相关漏洞于 11 月被修复，黑客对服务器的访问在 12 月初被切断。

Ho 写道，日志显示攻击者在漏洞修复后曾尝试重新利用同一漏洞，但由于补丁已部署，这些尝试未能成功。

Ho 此外在发给 TechCrunch 的邮件中表示，其托管服务提供商已确认共享服务器遭到攻破，但尚未披露黑客最初取得访问权限的具体方式。

Ho 为此次事件向用户致歉，并敦促用户下载包含漏洞修复的最新版本 Notepad++。

与 SolarWinds 事件被相提并论

报道指出，此次针对 Notepad++ 用户的攻击在某些方面与 2019 至 2020 年间影响 SolarWinds 客户的网络攻击相似。SolarWinds 是一家为大型财富 500 强企业及政府部门提供 IT 和网络管理工具的软件公司。

当时，俄罗斯政府间谍被指入侵 SolarWinds 服务器，在其软件更新中秘密植入后门，从而在更新推送后能够访问客户网络数据。该事件波及多个美国政府机构，包括国土安全部、商务部、能源部、司法部和国务院。

（本文更新内容包括 Don Ho 的最新回应及 Rapid7 提供的更多细节。）