Linuxeden开源社区Notepad++已经存在了相当长的时间,并且有充分的理由。它是一款免费(指自由)且开源的轻量级文本编辑器。开发人员、系统管理员以及任何在Windows上处理代码或纯文本的人,很可能都曾在某个时候使用过它。
我说Windows是因为尽管自首次发布以来已经过去了22年,但该软件仍然无法在Linux上使用,不过你可以通过一个非官方的Snap来运行它,该Snap在底层使用了Wine。不幸的是,如果你安装了这款软件,有些令人担忧的消息你应该注意。
发生了什么事?
Notepad++的更新基础设施遭到了破坏。 这次攻击并非源于Notepad++本身的漏洞。它始于托管服务提供商,该提供商负责运行处理Notepad++更新系统(WinGup)的服务器。
早在2025年6月,攻击者侵入了那台共享托管服务器,并进入了更新基础设施。从那里,他们可以拦截更新请求,并悄悄地将用户重定向到他们自己的服务器。
这种情况持续了几个月,但在9月初的一次例行维护更新后,攻击者失去了对服务器的直接访问权限。但他们已经获取了托管服务提供商内部服务的凭证,并利用这些凭证一直保持重定向状态,直到2025年12月2日。
攻击目标也并非随机。许多安全研究人员已追踪到此次攻击,他们认为攻击者是一个由中国政府资助的组织。此外,只有特定的用户被故意锁定为攻击目标。
此后,攻击已得到有效遏制,托管服务提供商修复了漏洞,更换了所有被泄露的凭证,且Notepad++已迁移至新的托管服务提供商。
解决方案/补救措施
其实很简单。如果你是现有用户,那么你可以下载包含必要安全修复的Notepad++ v8.9.1(或更高版本)。不过,你需要手动进行更新。
该版本还带来了许多其他改进,如宏和搜索错误修复、Perl语法高亮显示效果更佳、Nim新增函数列表支持,以及改进后的“查找”对话框,现在可以标记不可见字符。