Notepad++ 修复被劫持的更新机制，用于投放定向恶意软件

发布: 3天前 (2026年2月18日 GMT+8 15:40)

3 分钟阅读

Source: The Hacker News

Notepad++ 更新劫持

概述

Notepad++ 已发布安全修复，针对中国的高级威胁行为者利用的漏洞进行修补。攻击者劫持了软件的更新机制，向特定用户投放定向恶意软件。

该修复已包含在 8.9.2 版 中，并引入了“双锁”设计，使更新过程更加稳固，基本上无法被利用。此设计同时验证从 GitHub 下载的已签名安装程序（自 8.8.9 版起实现）以及从 notepad-plus-plus.org 更新服务器返回的已签名 XML。

验证改进
- 已签名安装程序验证（自 v8.8.9 起）
- 新增对更新服务器返回的已签名 XML 的验证
WinGUp（自动更新器）强化
- 移除 libcurl.dll 以消除 DLL 侧加载风险
- 移除两个不安全的 cURL SSL 选项：CURLSSLOPT_ALLOW_BEAST 和 CURLSSLOPT_NO_REVOKE
- 将插件管理执行限制为仅由与 WinGUp 相同证书签名的程序

Gartner 图片

更新还修补了一个高危漏洞：

CVE‑2026‑25926 – CVSS 7.3
当在未使用绝对可执行路径的情况下启动 Windows Explorer 时，会出现不安全的搜索路径漏洞（CWE‑426）。如果攻击者能够控制进程的工作目录，则可能导致执行恶意的 explorer.exe，进而在运行该应用程序的上下文中实现任意代码执行。
来源: GitHub advisory

时间线:
- 2025 年 6 月 – 威胁行为者开始劫持 Notepad++ 更新流量。
- 2025 年 12 月初 – 检测到此漏洞。
影响:
攻击者将特定用户的更新请求重定向至恶意服务器，投放了带有未公开后门 Chrysalis 的被污染更新。
归因:
该供应链攻击已在 CVE‑2025‑15556（CVSS 7.7）下登记，并与中国黑客组织 Lotus Panda 关联。
参考资料:
- Rapid7 与 Kaspersky 分析
- The Hacker News – Chrysalis 后门
- CVE‑2025‑15556 细节