Notepad++供應鏈攻擊出現三波活動,澳、菲、越、薩等國用戶成目標
攻擊活動時間軸與階段
根據資安公司Rapid7與卡巴斯基的調查,針對Notepad++的供應鏈攻擊活動可分成三個階段:
- 第一波(2025年6月):攻擊者開始進行偵察與目標確認,測試潛在用戶環境。
- 第二波:擴大針對特定國家用戶(包括澳門、菲律賓、越南、薩爾瓦多等)進行測試與後門植入。
- 第三波(2025年12月):攻擊活動完全停止,但已確認對多個國家用戶造成影響。
攻擊手法與後門
攻擊者透過入侵Notepad++的託管服務商基礎設施,將特定用戶的更新流量導向惡意伺服器,並在更新過程中植入後門程式,如Chrysalis後門。
攻擊組織與歸屬
此事件被歸因於外號為Lotus Blossom、Billbug、Thrip的中國APT駭客組織,該組織長期從事網路間諜活動,且與中國政府有關聯。
官方回應與建議
Notepad++開發團隊已修補相關漏洞,並建議用戶更新至8.8.9以上版本以確保安全。