Nodepad++ 日前發出安全公告,揭露該公司所用的共享網頁伺服器去年 6 月遭受「國家資助駭客」入侵,騎劫了 Notepad++ 的更新功能,令惡意分子可以將軟件的自動更新重導向到受他們控制的伺服器,下載惡意更新。Nodepad++ 開發商雖然已在去年底推出更新堵塞漏洞,但在日前再發公告交待事件解決時就再次呼籲用戶以手動方式更新 Notepad++ 至版本 v8.9.1。
Nodepad++ 開發商在公告中表示這次更新被騎劫事件並非源於程式碼漏洞,而是伺服器供應商被入侵。他們在去年收到幾個資安專家通報,發現基礎設施層級的入侵,屬於供應鏈攻擊,讓惡意分子能攔截並重新導向原本要前往 notepad-plus-plus.org 的更新流量。
據伺服器供應商的報告,有關的入侵由 2025 年 6 月一直持續至 9 月 2 日,在供應商更新了核心和靭體後,認為惡意分子經已失去對 Notepad++ 伺服器的存取權。不過由於惡意分子已經取得了伺服器憑證,可以重導向更新流量到他們控制的伺服器。由於一直以來 Notepad++ 都沒有對所下載的更新檔案進行憑證和數碼簽章驗證,惡意分子就對這些漏洞採取針對性的攻擊。直到去年 12 月 2 日供應商全部替換憑證後問題才完全解決。而 Notepad++ 方面亦在去年 12 月推出的版本 v8.8.9 中加入對更新檔的驗證。
Notepad++ 方面引述資安專家的估計,相信惡意分子是獲中國政府資助的駭客組織,指出他們的攻擊極端選擇性,例如供應商指出在遭入侵的伺服器的其他客戶的系統並沒有被攻擊,駭客只針對 Notepad++ 攻擊。他們亦觀察到被重導向到惡意更新伺服器的用戶也是高度選擇性的,似乎是針對特定用戶。
Notepad++ 開發商在公告中向公眾致歉,並呼籲用戶立即手動更新至包含相關安全性強化措施的版本 v8.9.1,同時預告一個月內將會推出 v8.9.2,強制執行憑證和簽章驗證,用戶應密切留意。
過去 Windows 的 Notepad 記事簿太過陽春,筆者只會用它作為緊急改改設定檔的工具。雖然近年 Microsoft 積極地更新 Notepad 的功能,令它具備編程工具的能力,不過與此同時也嵌入愈來愈多 AI 功能。現在連 Notepad++ 都成為了駭客的入侵工具,大家又會不會去尋求替代品呢?
下載 Notepad++:v8.9.1
