說明
知名文字編輯器 Notepad++ 近期爆發重大資安事件,官方公告遭具中國背景的國家級駭客長期滲透。這次攻擊與過去單純的程式碼漏洞有最大差異,駭客直接鎖定代管主機商的基礎設施,導致特定用戶的更新流量被選擇性導向惡意伺服器,下載到帶有病毒的執行檔。
開發者 Don Ho 與專家調查發現,這場劫持行動在去年六月至十二月初這段長達半年的期間內發生,由於駭客取得了內部服務憑證,即便在失去伺服器存取權後,仍能持續操控更新清單。
雖然目前已遷移至安全性更強的新主機,並在 v8.9.1 版本中導入了雙重簽章驗證,但因舊版 v8.8.9 存在證書驗證缺陷,無法自動升級至最新版本。因此,官方強烈呼籲用戶必須改採手動下載方式安裝 v8.9.1,才能確保軟體環境安全無虞。
Notepad++ v8.9.1
- [Download Notepad++ v8.9.1 (stable: auto-update triggered) | Notepad++](https://notepad-plus-plus.org/downloads/v8.9.1/)
Notepad++ v8.9.1 是劫持事件後的安全性關鍵升級,重點在於強化完整性與真實性驗證。新制要求自動更新時必須通過數位簽名與 GPG 密鑰比對,徹底阻斷惡意重新導向。此版本也修正了前版深色模式變色等瑕疵,並升級 Boost 1.90 核心與強化 Nim 語法支援。建議用戶立即更換,確保編輯環境兼具安全與穩定。
來源
 |
| https://x.com/i/status/2018253965645766993 |
參見
- [Notepad++ Hijacked by State-Sponsored Hackers | Notepad++](https://notepad-plus-plus.org/news/hijacked-incident-info-update/)
- [Notepad++ v8.8.9 release: Vulnerability-fix | Notepad++](https://notepad-plus-plus.org/news/v889-released/)
