Notepad++遭駭6個月：開源軟體資安危機的警鐘

當你按下「更新」按鈕時，你相信收到的是安全的軟體更新。但如果這個信任被背叛了6個月，會發生什麼事？

週一，廣受歡迎的文字編輯器Notepad++開發團隊發布了一份令人震驚的聲明：從去年6月到12月，他們的更新基礎設施完全被疑似中國政府支持的駭客集團控制，攻擊者利用這個控制權，選擇性地向特定目標用戶發送帶有後門的惡意更新。

「我為所有受到這次劫持影響的用戶深表歉意，」官方聲明寫道。這不是一次簡單的資料外洩，而是一場精心策劃、長達半年的供應鏈攻擊。

精準打擊的駭客戰術

這次攻擊展現了前所未見的精密度。駭客並未對所有用戶發動攻擊，而是採用「外科手術」般的精準策略：大部分用戶收到正常更新，只有特定目標被重定向到惡意伺服器，下載帶有名為Chrysalis後門程式的假更新。

資安公司Rapid 7將Chrysalis描述為「客製化、功能豐富的後門程式」。研究人員指出：「其廣泛的功能顯示這是一個複雜且持久的工具，而非簡單的拋棄式程式。」

獨立研究員Kevin Beaumont透露，有三個組織向他報告，其網路內安裝Notepad++的設備遭遇「安全事件」，導致駭客能夠「hands on keyboard」直接控制系統。值得注意的是，這三個組織都與東亞地區有業務往來。

更新機制的致命弱點

攻擊成功的關鍵在於Notepad++自有的更新系統GUP（WinGUP）存在結構性漏洞。該系統會向https://notepad-plus-plus.org/update/getDownloadUrl.php發送版本資訊，然後從gup.xml檔案獲取更新URL。

Beaumont分析指出，駭客可以在ISP層級進行TLS攔截，篡改這些通訊內容。特別是Notepad++較早版本使用自簽名憑證，缺乏強健的驗證機制。

「由於對notepad-plus-plus.org的流量相對稀少，攻擊者可能在ISP鏈中潛伏並重定向到不同的下載位置。但要大規模執行這種攻擊需要大量資源，」Beaumont解釋道。這暗示了背後可能有國家級資源支持。

華人企業面臨的風險

這次攻擊對亞洲地區，特別是華人世界的企業構成嚴重威脅。Notepad++在軟體開發和系統管理領域廣泛使用，許多台灣、香港和東南亞的科技公司都將其視為標準工具。

考慮到攻擊者特別針對與東亞有關聯的組織，華人企業很可能已經成為這次長期攻擊的目標。企業資安團隊應立即檢查內部Notepad++的使用情況，確保升級至8.9.1或更高版本。

更令人擔憂的是，Beaumont警告搜尋引擎充斥著推廣木馬化Notepad++版本的廣告，許多用戶可能在不知情的情況下安裝了惡意版本。

開源軟體的資金困境

Notepad++開發者在聲明中提到了一個關鍵問題：「如果有更多資源，這些漏洞本可以輕易被發現和修復。」

這句話揭露了開源軟體生態系統的根本矛盾：數百萬用戶依賴這些免費軟體，但維護它們的資源卻嚴重不足。Notepad++作為全球廣泛使用的工具，其開發資金遠遠無法匹配其重要性。

隨著Microsoft將Copilot AI整合到官方Notepad中，Notepad++的使用者反而增加。然而，用戶增長並未帶來相應的安全投資，這種不平衡正是今次攻擊得以成功的根本原因。

地緣政治的數位戰場

這次攻擊不僅是技術事件，更反映了數位空間中的地緣政治角力。中國被指控的駭客集團選擇攻擊廣受歡迎的開源軟體，顯示了供應鏈攻擊已成為國家級網路戰的重要手段。

對於處在中美科技競爭前線的華人地區而言，這次事件提醒我們：即使是看似無害的文字編輯器，也可能成為國際網路間諜活動的工具。