这款装机量极高、广泛应用于数百万开发者电脑中的开源文本编辑器Notepad++，其开发团队已证实发生一起严重安全事件 —— 软件的更新基础设施遭劫持，恶意攻击持续长达数月。在今日发布的透明度报告中，项目方披露，国家级黑客组织劫持了软件的更新机制，向特定目标用户投递恶意载荷。

此次攻击事件的时间跨度为 2025 年 6 月至 12 月初，攻击并未利用软件代码本身的漏洞，而是将矛头对准了托管软件的服务器。

报告指出：“攻击者通过攻陷基础设施，拦截发往notepad-plus-plus.org官网的更新流量，并将其重定向至自己控制的服务器”。

尤为关键的是，这并非一场 “广撒网式” 的攻击。黑客借助被攻陷的基础设施实施 “精准定向攻击”，仅向特定目标用户下发恶意更新配置文件，绝大多数普通用户并未受到波及。

攻击活动所展现出的高精准度与专业性，足以说明攻击者具备雄厚的资源支撑。参与调查的独立安全研究员评估称：“该威胁组织极有可能是某中国国家级黑客团体，这也解释了攻击过程中呈现的精准定向特征”。

攻击者正是利用了旧版 Notepad++ 中存在的更新验证机制缺陷，才得以推送这些恶意篡改的更新包。直至 2025 年 12 月 2 日托管服务商驱逐攻击者，这场攻击活动已持续近六个月。

为应对此次安全漏洞，Notepad++ 开发团队已将官网迁移至安全防护更为严格的新托管服务商。此外，软件的更新组件WinGup也在 8.8.9 版本中完成重大升级。

新版更新器新增功能，能够 “同时校验下载安装包的证书与数字签名”；项目方还计划采用 XMLDSig 技术，对更新服务器返回的 XML 文件进行签名，确保软件接收的更新指令真实可靠。

项目负责人就此次事件发表了个人致歉声明：“对于所有因本次劫持事件受到影响的用户，我深表歉意”。

随着基础设施迁移完成与代码防护加固落地，开发团队认为当前的直接威胁已被消除。正如报告结尾所言：“通过这些调整与强化措施，我相信问题已得到彻底解决，但愿一切安好”。开发团队强烈建议所有用户，立即将软件升级至 8.8.9 或更高版本，以获取新版验证机制带来的安全防护。

一波新的网络攻击正瞄准那些寻找免费软件的用户，把他们的电脑变成不情愿的带宽共享参与者。安恒实验室安全情报中心（ASEC）发布警告称，威胁组织 Larva-25012 正在通过分发伪装成热门文本编辑器 Notepad++ 的恶意软件来实施攻击。

这是一种典型的 “代理劫持（Proxyjacking）” 攻击：攻击者在受害者电脑上悄悄安装软件，盗用其网络带宽来牟利。

该活动主要针对搜索破解版或盗版软件的用户。攻击者将受害者诱骗到 “伪装成提供破解 / 盗版软件下载的虚假网站”。这些网站通常声称自己 “界面友好、资源全面”，提供各种工具的恶意安装包，例如 AutoClicker、SteamCleaner，以及最引人注目的 Notepad++。

当用户下载并运行名为 Setup.zip 的文件时，他们得到的远不止一个文本编辑器。“通过 Setup.zip 分发的版本同时包含 ** 正版 Notepad++ 安装程序（Setup.exe）** 和一个名为 TextShaping.dll 的恶意加载器 DLL。”

恶意软件使用 DLL 侧加载（DLL side‑loading） 技术来躲避检测。当受害者启动正版的 Notepad++ 安装程序时，它会无意中从同一文件夹加载恶意的 TextShaping.dll。

随后，该 DLL 会在内存中解密一个有效载荷，最终安装 DPLoader（一种下载器木马）。“一旦在 Windows 任务计划程序中注册，DPLoader 就会持久化执行，并从其 C&C 服务器获取指令。”

为了保持隐蔽，恶意软件还会主动篡改系统防御。“脚本会修改 Windows Defender 策略，包括添加排除路径、禁用安全通知，并阻止恶意软件样本提交。”

该活动的最终目的不是勒索或窃取数据，而是牟利。攻击者会安装 代理软件（Proxyware），让受害者的网络连接被 “共享” 出去。

“代理劫持指的是在未经同意的情况下，在受害者机器上安装 Proxyware，从而让攻击者通过盗用受害者的网络带宽来赚钱。”

恶意软件会安装已知的代理软件，例如 Infatica 和 DigitalPulse。为了伪装得更逼真，Infatica 代理会被注册为名为 “Microsoft Anti‑Malware Tool” 的计划任务，让普通用户误以为它是一个合法的系统进程。

Larva-25012 还在不断升级攻击手段。ASEC 研究人员指出，攻击者 “正在积极更改技术以躲避检测 —— 例如将 Proxyware 注入 Windows 资源管理器进程，或使用基于 Python 的加载器”。