研究低
中国APT组织利用Notepad++供应链发起定向攻击
1分钟阅读来源: Schneier on Security
中国国家支持的威胁组织入侵Notepad++更新基础设施,通过供应链攻击向特定目标分发植入木马的文本编辑器版本。事件持续近6个月,攻击者在初步修复后仍保持内部服务访问权限3个月。
中国APT组织利用Notepad++供应链发起定向攻击
一支中国国家支持的威胁组织(APT)入侵了Notepad++的更新基础设施,通过精心策划的供应链攻击,向特定目标分发植入木马的流行文本编辑器版本。该漏洞持续近6个月,攻击者在初步修复尝试后仍保持对内部服务的访问权限长达3个月。
技术细节
此次攻击利用了旧版Notepad++中不足的更新验证控制机制。根据事件响应人员的报告:
- 未具名托管服务提供商的基础设施在2025年9月2日前一直处于被入侵状态
- 攻击者保留了内部服务的凭据直至2025年12月2日,能够持续将更新流量重定向至恶意服务器
- 事件日志显示,在漏洞修补后仍有重新利用的尝试失败记录
- 威胁组织特意针对Notepad++的域名,以绕过传统的更新验证机制
Notepad++官方确认,仅8.9.1版本之前的版本易受此供应链攻击影响。公司未披露受影响用户的总数,但强调此次攻击是“高度定向”的,而非大规模攻击。
影响分析
此次事件展示了高级持续性威胁(APT)在供应链攻击方面日益增长的复杂性。主要风险包括:
- 选择性目标攻击:攻击者可向特定组织或个人分发恶意软件,同时为其他用户提供合法更新
- 长期潜伏:长达6个月的入侵窗口为广泛的侦察和有效载荷投递提供了机会
- 更新劫持:即使在初步修复后,攻击者仍能重定向更新流量,凸显了完全保护软件分发渠道的挑战
建议措施
安全团队应采取以下措施:
- 立即验证所有Notepad++安装是否已更新至8.9.1或更高版本
- 审计系统是否存在入侵迹象,特别是运行旧版本的系统
- 审查其他关键软件的更新机制,以识别类似的验证漏洞
- 监控异常更新行为,如意外的重定向或证书变更
- 实施代码签名验证,作为深度防御措施,确保所有软件更新的安全性
Notepad++团队尚未发布具体的入侵指标(IOCs),但建议各组织将任何意外的更新行为视为潜在恶意活动。