Notepad++更新链路被劫持并将部分用户重定向到恶意服务器

 2月2日，Notepad++维护方发布安全通告，确认其更新交付链路曾被攻击者操控，少量用户在使用内置更新机制检查或获取新版本时被重定向到伪装成官方的下载服务器，进而可能下载到被篡改的安装包或更新程序。通告披露攻击影响到更新相关的基础设施与跳转配置：攻击者通过修改更新指向与分发路径，让部分请求落到恶意主机上，再由该主机提供带后门的可执行文件；该异常并未覆盖所有下载请求，且并非每次检查更新都会触发重定向，因此受影响范围被描述为有限。处置过程中，维护方暂停相关自动更新入口并改为引导用户手动下载，同时对更新清单、镜像分发与跳转规则进行审计与回滚，重置相关凭据并更换或收紧发布环节的访问权限；在恢复发布后，维护方调整了更新策略并加强签名校验与发布流程，减少第三方托管与中间跳转对自动更新的影响，并对外公布了新的分发地址与校验信息。通告要求用户从官方站点重新下载最新安装包，并对已安装版本进行完整性核对；自查建议包括核验文件数字签名与校验值、检查安装目录内关键文件是否被替换、排查更新程序产生的下载缓存与网络连接记录，对可疑可执行文件先隔离再做扫描。通告同时提示企业环境在软件分发平台上更新白名单与来源规则，部署前先在离线环境核验更新包来源与签名；对使用该软件进行脚本编辑、运维批处理或插件开发的用户，在完成清理与版本确认前暂缓导入不明来源的插件与宏文件，并按需对终端进行全盘查杀与再安装，以降低残留风险。