Notepad++遭駭客劫持半年，開源軟體安全神話破滅

一個讓數千萬用戶信賴了20年的文字編輯器，竟然被駭客悄悄控制了半年。這不是科幻小說，而是剛剛曝光的Notepad++安全事件真相。

攻擊手法解析

2025年6月至12月期間，疑似中國政府相關的駭客組織成功入侵了Notepad++的伺服器系統。攻擊者並非採用暴力破解，而是精準利用共享主機的漏洞，將部分用戶的軟體更新請求重新導向至惡意伺服器。

開發者Don Ho在最新聲明中透露，駭客「特別針對」Notepad++的網域進行攻擊，目標是利用軟體漏洞來劫持更新流程。安全研究員Kevin Beaumont的分析顯示，受害者主要是「對東亞事務有興趣」的組織，駭客能夠「直接控制」受感染電腦。

這種攻擊手法的精密程度令人震驚。駭客不是隨機撒網，而是有選擇性地投放惡意更新，這種「精準打擊」策略讓攻擊在長達6個月的時間內未被發現。

供應鏈攻擊新趨勢

這起事件讓人聯想到2019年的SolarWinds攻擊事件。當時俄羅斯駭客入侵該公司伺服器，在軟體中植入後門，成功滲透美國多個政府部門，包括國土安全部、商務部、能源部等。

但Notepad++事件展現了供應鏈攻擊的新變化：目標從大型商業軟體轉向開源專案。開源軟體因其透明性和免費特性，往往被視為更安全的選擇。然而，這次攻擊證明，開源專案的安全性很大程度上依賴於維護者的資源和專業能力。

對於亞洲企業而言，這個趨勢特別值得關注。許多華人企業基於成本考量大量採用開源解決方案，但往往缺乏足夠的安全檢測機制。當攻擊者將目標瞄準這些「基礎設施級」的開源工具時，影響範圍可能遠超想像。

地緣政治的數位延伸

值得注意的是，這次攻擊明顯帶有地緣政治色彩。駭客選擇性地針對「對東亞有興趣」的組織，這種精準定位反映了網路攻擊日益成為國家間博弈的工具。

對台灣、香港等地的企業來說，這種威脅尤其現實。這些地區的組織往往同時與中國大陸和西方市場有業務往來，容易成為各方網路間諜活動的目標。Notepad++事件提醒我們，即使是看似無害的工具軟體，也可能成為情報收集的跳板。

信任機制的重建

Don Ho在事後發布的道歉聲明中承認了安全措施的不足，並敦促用戶下載最新版本。但這起事件暴露的問題遠不止技術層面：我們如何在開放與安全之間找到平衡？

開源軟體的核心價值在於透明度和社群協作，但這次事件顯示，透明度並不等於安全性。當個人開發者或小型團隊要面對國家級的網路攻擊時，傳統的安全模式顯然不夠。