文章总结： Notepad++修复了其WinGUp更新工具中的安全漏洞，该漏洞允许攻击者推送恶意更新文件而非合法更新包。恶意更新会执行侦察命令收集设备信息并泄露到外部网站。开发者已发布8.8.9版本，加强安全机制验证下载安装程序的签名和证书。安全专家警告已有三个组织因此受到安全事件影响，建议所有用户立即升级到最新版本，并删除旧版自定义根证书。 综合评分： 89 文章分类： 漏洞分析,漏洞预警,应用安全,供应链安全,安全建设

Notepad++修复了攻击者可推送恶意更新文件的漏洞

Rhinoer

犀牛安全

2025年12月20日 00:00 北京

Notepad++ 版本 8.8.9 发布，旨在修复其 WinGUp 更新工具中的一个安全漏洞。此前，研究人员和用户报告称，该更新程序会检索恶意可执行文件，而不是合法的更新包。

这个问题最早出现在Notepad++ 社区论坛的一个主题中，一位用户报告说，Notepad++ 的更新工具 GUP.exe (WinGUp) 生成了一个未知的“%Temp%\AutoUpdater.exe”可执行文件，该文件执行命令来收集设备信息。

据记者报道，该恶意可执行文件运行了各种侦察命令，并将输出结果存储到名为“a.txt”的文件中。

然后， autoupdater.exe 恶意软件使用 curl.exe 命令将 a.txt 文件泄露到 temp[.]sh，这是一个文件和文本共享网站，以前曾被用于恶意软件活动。

由于 GUP 使用的是 libcurl 库而不是实际的“curl.exe”命令，并且不会收集此类信息，其他 Notepad++ 用户猜测该用户安装了非官方的恶意版本的 Notepad++，或者自动更新网络流量被劫持了。

为了帮助缓解潜在的网络劫持风险，Notepad++ 开发者 Don Ho 于 11 月 18 日发布了 8.8.8 版本，以便更新只能从 GitHub 下载。

为了更有效地解决这个问题，Notepad 8.8.9 于 12 月 9 日发布，它将阻止安装未经开发者代码签名证书签名的更新。

Notepad 8.8.9 安全通知中写道：被劫持的更新 URL从这个版本开始，Notepad++ 和 WinGUp 的安全机制已得到加强，会在更新过程中验证下载安装程序的签名和证书。如果验证失败，更新将会中止。

本月初，安全专家凯文·博蒙特警告说，他从三个受到与 Notepad++ 相关的安全事件影响的组织那里了解到情况。

博蒙特解释道：我已经从 3 个组织了解到，他们的服务器上安装了 Notepad++，并且发生了安全事件，看起来是 Notepad++ 进程引发了最初的访问。

“这些问题都会吸引键盘攻击者的关注。”

该研究人员表示，他接触过的所有组织都对东亚地区感兴趣，而且这些活动似乎具有很强的针对性，受害者报告称，在事件发生后，他们遭到了实际的侦察活动。

Notepad++ 检查更新时，会连接到https://notepad-plus-plus.org/update/getDownloadUrl.php?version=<版本号>。如果有更新的版本，该端点将返回 XML 数据，其中包含最新版本的下载路径：

Beaumont 推测，在这些事件中，Notepad++ 的自动更新机制可能被劫持，从而推送恶意更新，使攻击者能够远程访问。

博蒙特解释说：如果你能拦截并改变这种流量，你就可以通过更改 属性中的 URL 将下载重定向到它出现的任何位置。

由于 notepad-plus-plus.org 的流量相当少见，因此有可能潜入 ISP 链路内部，将其重定向到其他下载页面。但要大规模地进行这种操作，需要大量的资源。

然而，博蒙特指出，攻击者利用恶意广告来分发安装恶意软件的恶意版本的 Notepad++ 的情况并不少见 。

Notepad++ 的安全通知也表达了同样的疑虑，称他们仍在调查流量是如何被劫持的。

安全公告中写道：目前调查仍在进行中，以确定流量劫持的确切方法。一旦确定了有关原因的切实证据，我们将通知用户。

开发者表示，所有 Notepad++ 用户都应该升级到最新版本 8.8.9。他们还指出，自 v8.8.7 起，所有官方二进制文件和安装程序都使用有效证书签名，之前安装过旧版自定义根证书的用户应该将其删除。

信息来源：BleepingComputer

查看原文：《Notepad++修复了攻击者可推送恶意更新文件的漏洞》