文章总结： Notepad++曾因前托管服务商被入侵，导致其更新过程遭劫持，APT组织借此实施供应链投毒，向特定目标分发恶意文件。此次事件并非软件代码本身存在漏洞。官方已更换托管商并修复，建议用户卸载旧版、清理残留后升级至8.8.9及以上版本，并检查文件签名。 综合评分： 75 文章分类： 供应链安全,恶意软件,APT,应用安全,网络安全

Notepad++遇国家级APT投毒定向百万设备

原创

黑夏 黑夏

表哥带我

2026年2月4日 20:01 广东

❝

由于传播、利用本公众号”表哥带我”所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责。

网传Notepad++更新遭劫持

#

APT组织定向投毒数百万设备

#

Notepad++维护者Don Ho近日确认，遭到入侵的是该软件的前托管服务商。需要明确的是，此次入侵并非由于Notepad++代码本身存在漏洞，而是攻击者在托管层面获取控制权后，能够拦截更新流量并将部分用户重定向至攻击者控制的服务器，从而分发恶意二进制文件。

去年，该程序被披露存在提权漏洞，非特权用户可通过不安全的可执行文件搜索路径获取系统级（SYSTEM）权限。

【CVE‑2025‑49144】Notepad++提权漏洞

援引其他情报机构的报告指出，Notepad++在2025年6月至12月遭APT组织劫持更新服务器实施供应链投毒，攻击者窃取凭证定向下发恶意更新包，针对东亚政企金融等目标，普通用户未被大范围波及，但旧版更新验证存在漏洞。

值得注意的是，服务提供商和外部专家审查的日志显示，攻击者几乎完全专注于该notepad-plus-plus.org域名。托管在同一基础设施上的其他客户似乎并未受到影响，这表明攻击是蓄意的，而非机会主义的滥用行为。

Notepad++作者写道，几位独立安全研究人员认为威胁行为者可能是东方某国支持的组织，”这可以解释在活动期间观察到的高度选择性目标定位。”

官方已更换托管商并修复，8.8.9及以上版本强化了签名校验，建议尽快自查处理。

先彻底卸载现有版本，清理安装目录及AppData下相关残留文件，同时移除可疑旧证书。

不过，针对该程序开发者早年的一些偏向政治方面强制协议的行为，建议大家使用相关开源的平替程序。如VSCode、SublimeText等

如果你正在或非要使用这个软件，建议马上升级，并检查文件签名。

其他阅读：

天融信被军队永久全品种禁止采购

九子夺嫡，微信对元宝的裂变营销动手

【吃瓜】长图文概述爱泼斯坦恶魔岛中吃人的世界

马在年会中给自己抽了副蹄铁

【吃瓜】纯狱风招聘“有黑灰产运营经验优先”

成熟的AI会自己去赚新的RTX4090

网安新年专属祝福图直取

2025网安排行，奇安信稳坐亏损头把交椅

左侧长按加入

吃瓜交流群

动态入群二维码

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：表哥带我 黑夏 黑夏《Notepad++遇国家级APT投毒定向百万设备》