热门开源编辑器Notepad++遭中国关联的供应链攻击

symeteor

Notepad++的开发者和网络安全研究人员周一表示，一个长期活跃的中国网络间谍组织劫持了流行编辑器 Notepad++ 的更新流程，从而通过该渠道向特定用户投放定制的后门程序和其他恶意软件，

Notepad++ 的法国籍开发者Don Ho 周一在该项目官网博客中表示，恶意行为者自2025年6月起即针对“部分特定目标用户”发动攻击，劫持了 Notepad++的更新流程。根据 Ho 的说法，黑客在2025年9月2日之前一直有权访问 Notepad++ 更新所使用的托管服务器，并且一直保留了部分托管服务的访问凭证直到 2025年12月2日。

目前尚不清楚哪些Notepad++ 用户成为攻击目标，也不清楚受害规模。Ho在一封电子邮件中表示，他无法得知被下载的恶意更新数量。Ho 说：“根据调查结果，我能确定的是，这次攻击具有很强的针对性——在被入侵的时间窗口中，并非所有用户都收到了恶意更新，这表明黑客是有选择地发动攻击，而不是大规模传播。”

美国网络安全与基础设施安全局的一位发言人表示，该机构“已知悉所报告的入侵事件，并正在调查其对美国政府系统可能造成的影响”。

Ho的博客中还引用了其托管服务提供商的声明，称用于向用户推送更新的服务器“可能已被攻破”，黑客特别瞄准了与 Notepad++相关的域名。

该域名由立陶宛托管服务商Hostinger 托管至1月21 日，Ho 在邮件中确认了这一点。Hostinger 未立即回应置评请求。

网络安全公司 Rapid7 在周一发布的博客文章中，将此次黑客行动归因于一个名为为 “Lotus Blossom” 的中国网络间谍组织。根据 Rapid7 的介绍，该组织自 2009 年起活跃，历史上主要针对东南亚的政府、电信、航空、关键基础设施和媒体领域发动攻击，近年来其活动范围已扩展至中美洲。

中国驻华盛顿大使馆一位发言人表示：中国依法反对并打击一切形式的黑客行为。我们不支持、不纵容，也不参与网络攻击。我们拒绝有关方面在没有提供任何事实依据的情况下，作出‘中国政府支持黑客活动’的无端指责。”

根据分析结果，黑客组织利用其获得的访问权限，投放了一种定制后门，可使其远程控制受感染计算机，并将其作为据点窃取数据或进一步攻击其他系统。

网络安全研究员 Kevin Beaumont 在 2025 年 12 月 2 日的博客文章中指出，他了解到三家在东亚有业务利益的机构，曾发生与 Notepad++ 相关的潜在安全事件。

https://www.reuters.com/technolo ... y-chain-2026-02-02/

innsfree

侯今吾喜欢在软件更新日志和启动界面里加支持台独的内容。所以可能被黑客针对了。

limyae2009

估計明天工地的電腦都要刪除被感染的版本了。

315

这老哥搞事情不是一天两天了，开源软件夹杂个人政治观点，相当于免费送的饭里偏偏要加香菜

click

innsfree 发表于 2026-2-3 23:09
侯今吾喜欢在软件更新日志和启动界面里加支持台独的内容。所以可能被黑客针对了。
...

记得国内的程序员们很早就开始抵制notepad++了
开始换用emeditor
而且notepad++使用的插件模式本身就很有安全风险
每一个插件都是一个独立的可执行程序
插件能干什么完全是靠开发者的良心
现在才有黑客盯上他，已经算晚的了