Notepad++ 通过“双锁”机制提升更新安全性

Source: Bleeping Computer

双锁更新机制

Notepad++ 采用了“双锁”设计来改进其更新机制，以应对最近被利用的安全漏洞导致的供应链攻击。

该新机制已随 Notepad++ 8.9.2 版（昨日发布）正式上线，尽管其工作始于 8.8.9 版，在该版本中实现了对来自 GitHub 的已签名安装程序的验证。

双锁系统的第二部分是检查来自 notepad-plus-plus.org 域的已签名 XML。实际上，这意味着从更新服务返回的 XML 文件已使用 XMLDSig 进行数字签名。

两种验证机制的组合使更新过程更加稳健且基本上不可被利用，正如这款极受欢迎的开源文本与源码编辑器团队所述。

对自动更新器的其他安全改进

• 移除 libcurl.dll，以消除 DLL 侧加载风险
• 移除两个不安全的 cURL SSL 选项：CURLSSLOPT_ALLOW_BEAST 和 CURLSSLOPT_NO_REVOKE
• 将插件管理的执行限制为仅对使用与 WinGUp 相同证书签名的程序有效

新的公告还指出，用户可以在 UI 安装期间排除自动更新器，或使用以下方式部署 MSI 包：

msiexec /i npp.8.9.2.Installer.x64.msi NOUPDATER=1

来源：Notepad++

最近供应链攻击的背景

本月早些时候，Notepad++ 与 Rapid7 研究人员披露，更新基础设施在一次持续六个月的攻击活动中被攻破，攻击者被归因于与中国有关的威胁组织 Lotus Blossom。

• 该恶意行为者自 2025 年 6 月起入侵了托管 Notepad++ 更新器的服务提供商，并有选择地将特定用户的更新请求重定向至恶意服务器。
• 攻击利用了旧版本软件中薄弱的更新验证控制，直至 2025 年 12 月 2 日 被发现。
• Rapid7 的分析显示，中国黑客在攻击链中使用了名为 “Chrysalis” 的自定义后门。

除了新引入的安全措施外，项目组还立即更换了托管服务商、轮换凭证，并修复了被利用的漏洞。

推荐操作

将所有 Notepad++ 安装升级至 8.9.2 版，并确保始终从官方域名 notepad-plus-plus.org 下载安装程序。