2026年2月，Notepad++开发者声明其更新基础设施在2025年6月至12月间遭黑客入侵。攻击者通过不断更换C2服务器地址、下载器和最终载荷，在7月至10月间对越南、萨尔瓦多、澳大利亚等地的个人用户、菲律宾政府机构、萨尔瓦多金融机构和越南IT服务商发动了多样化攻击。卡巴斯基成功拦截了这些攻击。

Notepad++供应链攻击事件分析报告

2026年2月2日，广受开发者欢迎的文本编辑器Notepad++开发团队发布声明，确认其更新基础设施在2025年6月至9月期间因托管服务商事故遭到入侵，攻击者持续控制内部服务直至2025年12月。

【攻击特征】 1. 多阶段攻击链条： - 2025年7月至10月期间，攻击者通过不断轮换C2服务器地址、下载器和最终载荷实施定向攻击 - 受影响目标包括越南、萨尔瓦多、澳大利亚的个人用户，菲律宾政府机构，萨尔瓦多金融机构及越南IT服务商

2. 三重感染链分析：

• 第一链条（2025年7-8月）： • 通过http://45.76.155[.]202分发恶意update.exe（SHA1: 8e6e5054） • 利用ProShow软件漏洞（非DLL劫持）投放Cobalt Strike信标 • 使用temp[.]sh临时存储窃取的系统信息

• 第二链条（2025年9月）： • 改用Lua脚本（alien.ini）加载Metasploit下载器 • 系统信息收集命令升级为"whoami&&tasklist&&systeminfo&&netstat -ano" • C2域名变更为cdncheck.it[.]com和safe-dns.it[.]com

• 第三链条（2025年10月）： • 采用BluetoothService.exe侧加载恶意log.dll • 最终投放定制化Chrysalis后门 • 更新服务器变更为http://45.32.144[.]255

【防御建议】 1. 检测NSIS安装程序创建的%localappdata%\Temp\s.tmp目录 2. 监控企业网络中对temp[.]sh域名的异常访问 3. 警惕whoami/tasklist/systeminfo/netstat等诊断命令的集中执行 4. 核查文中列出的IoC指标（含32个恶意URL和15个文件哈希）

【时间线特征】 攻击者每月更换攻击链条，表现出高度组织性： 7月-8月 → 第一链条 → 9月间歇 → 9月下旬第二链条 → 10月第三链条 → 10月下旬复用第二链条

注：卡巴斯基解决方案成功拦截了所有已识别的攻击行为。本次事件凸显开发工具供应链安全的重要性，建议用户及时验证软件更新签名。

（全文保留核心攻击技术细节，删减了重复的哈希值列举和部分技术术语解释，优化了中文阅读逻辑）

以下是评论内容的总结，平衡呈现不同观点并保留关键引用：

1. 关于软件更新的矛盾性

   • 观点：保持更新与避免过度更新之间存在矛盾（troad）
     引用："同时保持更新(避免漏洞)又不过度更新(避免供应链攻击)，实在难以操作"
     "It now seems to be best practice to simultaneously keep things updated...but also not update them too much"

2. 沙箱隔离方案

   • 观点：使用沙箱运行工具可限制攻击范围（ashishb）
     引用："现在我在沙箱中运行许多工具，损害仅限于该目录"
     "The damage is confined to the directory I'm running that tool in"

3. 对Notepad++流行度的质疑

   • 观点：质疑其开发者流行度说法（bluenose69）
     引用："文章说Notepad++'在开发者中流行'，真的吗？"
     "The article starts out by saying...Really?"

4. 信息泄露风险评估

   • 观点：认为暴露的系统信息风险有限（Willish42）
     引用："这些信息对这个级别的攻击相对安全吧？"
     "isn't this relatively safe information to expose..."

5. 包管理器的优势

   • 观点：包管理器成为最终解决方案（porise）
     引用："包管理器最终胜出，我去年收到IT部门两封更新邮件"
     "package managers win in the end...telling me to immediately update"

6. 数字签名绕过疑问

   • 观点：质疑攻击者如何绕过有效签名（Someone1234）
     引用："他们如何绕过Notepad++的数字签名？安装程序明明有有效证书"
     "How did they bypass...valid code-signing certificate"

7. 版本安全建议

   • 观点：建议通过winget安装避开问题版本（tonymet）
     引用："推荐通过winget安装，直接获取EXE而不经过winGUP更新服务"
     "installing via winget which installs the EXE directly without the winGUP"

8. 供应链攻击警示

   • 观点：更新机制是高危目标（Soerensen）
     引用："6个月窗口期显示，供应链攻击因具有信任权限而难以检测"
     "Supply chain attacks are difficult to detect...runs with full user permissions"

9. 攻击溯源猜测

   • 观点：VirusTotal扫描者可能是攻击者（Erlangen）
     引用："台湾用户在漏洞曝光前扫描了URL，可能是攻击者？"
     "Could this be the attacker? The scan happened before the hack was exposed"

关键数据补充：
受影响版本为8.8.9之前，攻击窗口为2025年6月至12月，通过WinGUp更新工具植入Chrysalis后门（tonymet引用）。