廣受全球開發者歡迎的開源文字與原始碼編輯器Notepad++，其更新機制在2025年6月至12月間遭疑似中國國家級威脅組織入侵長達近半年。攻擊者透過入侵Notepad++第三方託管供應商，選擇性地將特定用戶的更新流量重新導向惡意伺服器，提供帶有後門的惡意安裝檔。此供應鏈攻擊凸顯軟體更新路徑已成為高風險攻擊向量，對台灣大量使用Notepad++的科技、金融與電信產業構成嚴重威脅。

 

Notepad++主要維護者Dan Ho於2月2日發布部落格公告，證實攻擊發生在託管供應商層級，而非Notepad++程式碼本身漏洞。攻擊者自2025年6月起入侵WinGUp更新器所使用的第三方伺服器，針對特定IP範圍的用戶，將更新請求重新導向攻擊者控制的伺服器，下載惡意可執行檔。Ho表示，攻擊者於9月2日因伺服器例行維護（韌體與核心更新）暫時失去存取權，但憑藉先前取得的有效憑證，仍持續操縱更新流量至12月2日。

 

「攻擊者刻意針對Notepad++域名，利用舊版WinGUp更新器缺乏足夠驗證機制，選擇性投毒更新。」Ho強調，此攻擊高度針對性，僅影響特定用戶，大多數全球用戶仍下載到乾淨版本。Notepad++自2003年推出以來下載量達數千萬次，廣泛用於開發環境、系統管理與IT作業，許多大型企業與政府機構將其納入標準工具鏈。一旦更新遭劫持，惡意程式可直接進入開發環境，擁有與合法軟體相同的權限，輕易繞過端點防護與內容過濾。

 

BeyondTrust資安顧問Morey Haber指出：「一旦更新器遭劫持，攻擊者成為可信任執行路徑的一部分。」這讓他們能植入具備偵察、憑證竊取、橫向移動、持久化與資料外洩能力的惡意程式。Black Duck解決方案管理資深總監Collin Hogue-Spears更形容：「APT31繞過SolarWinds事件後產業所有建置管線防禦，僅入侵託管供應商、過濾IP範圍、針對東亞電信與金融目標手動投遞木馬化安裝檔。」他強調，此攻擊未觸碰原始碼、未入侵建置管線、未破壞任何數位簽章，顯示供應鏈風險已從開發管線轉移至「二進位到端點」的傳輸路徑。

 

資安研究員Kevin Beaumont將此攻擊歸因於中國APT組織Violet Typhoon（又稱APT31或Zirconium），目標鎖定對中國具戰略價值的金融服務公司與電信業者。另一方面，Rapid7資安分析師Ivan Feigl則將攻擊連結至另一中國相關APT「Lotus Blossom」，並發現其部署一款先前未公開的自訂後門「Chrysalis」。兩方分析雖歸因略有差異，但均指向中國國家級行動者。

 

Notepad++團隊已採取多項補強措施：

 

對台灣影響深遠。台灣擁有全球最龐大的半導體與科技生態，開發人員廣泛使用Notepad++作為輕量編輯工具，許多金融機構與電信業者亦將其納入標準作業環境。若更新遭投毒，可能導致開發環境遭入侵、原始碼外洩、憑證被竊，甚至成為供應鏈攻擊跳板。近期中國APT針對東亞目標的攻擊頻率增加，此事件應視為警訊。

資安專家建議企業採取以下防護措施：

 

Haber總結：「供應鏈現已成為高風險攻擊向量，任何基礎設施的不安全都可能成為攻擊入口。」此事件顯示，供應鏈防護不能僅聚焦建置管線，更須涵蓋二進位傳輸全程。企業若繼續將自動更新視為「可信任」，恐重蹈SolarWinds、3CX、MOVEit等覆轍。

 

台灣政府與企業應加速導入軟體物料清單（SBOM）、零信任更新驗證與供應鏈風險管理框架，防範國家級APT的精準供應鏈攻擊。Notepad++事件提醒我們：最受信任的工具，往往是最危險的攻擊路徑。

 

 

出處： 基於Dark Reading文章《Chinese Hackers Hijack Notepad++ Updates for 6 Months》，作者Jai Vijayan，發布日期2026年2月3日；並參考Notepad++官方維護者Dan Ho部落格公告、Kevin Beaumont研究報告、Rapid7分析部落格，以及Black Duck與BeyondTrust專家評論。