|
Notepad++的开发者和网络安全研究人员周一表示,一个长期活跃的中国网络间谍组织劫持了流行编辑器 Notepad++ 的更新流程,从而通过该渠道向特定用户投放定制的后门程序和其他恶意软件, Notepad++ 的法国籍开发者Don Ho 周一在该项目官网博客中表示,恶意行为者自2025年6月起即针对“部分特定目标用户”发动攻击,劫持了 Notepad++的更新流程。根据 Ho 的说法,黑客在2025年9月2日之前一直有权访问 Notepad++ 更新所使用的托管服务器,并且一直保留了部分托管服务的访问凭证直到 2025年12月2日。 目前尚不清楚哪些Notepad++ 用户成为攻击目标,也不清楚受害规模。Ho在一封电子邮件中表示,他无法得知被下载的恶意更新数量。Ho 说:“根据调查结果,我能确定的是,这次攻击具有很强的针对性——在被入侵的时间窗口中,并非所有用户都收到了恶意更新,这表明黑客是有选择地发动攻击,而不是大规模传播。” 美国网络安全与基础设施安全局的一位发言人表示,该机构“已知悉所报告的入侵事件,并正在调查其对美国政府系统可能造成的影响”。 Ho的博客中还引用了其托管服务提供商的声明,称用于向用户推送更新的服务器“可能已被攻破”,黑客特别瞄准了与 Notepad++相关的域名。 该域名由立陶宛托管服务商Hostinger 托管至1月21 日,Ho 在邮件中确认了这一点。Hostinger 未立即回应置评请求。 网络安全公司 Rapid7 在周一发布的博客文章中,将此次黑客行动归因于一个名为为 “Lotus Blossom” 的中国网络间谍组织。根据 Rapid7 的介绍,该组织自 2009 年起活跃,历史上主要针对东南亚的政府、电信、航空、关键基础设施和媒体领域发动攻击,近年来其活动范围已扩展至中美洲。 中国驻华盛顿大使馆一位发言人表示:中国依法反对并打击一切形式的黑客行为。我们不支持、不纵容,也不参与网络攻击。我们拒绝有关方面在没有提供任何事实依据的情况下,作出‘中国政府支持黑客活动’的无端指责。” 根据分析结果,黑客组织利用其获得的访问权限,投放了一种定制后门,可使其远程控制受感染计算机,并将其作为据点窃取数据或进一步攻击其他系统。 网络安全研究员 Kevin Beaumont 在 2025 年 12 月 2 日的博客文章中指出,他了解到三家在东亚有业务利益的机构,曾发生与 Notepad++ 相关的潜在安全事件。 https://www.reuters.com/technolo ... y-chain-2026-02-02/ |
