Notepad 更新程序遭劫持植入恶意软件

Notepad 近日发布安全警告，指出其更新机制遭遇了流量劫持攻击，部分地区的用户在更新过程中被植入了恶意程序。调查显示，问题出在其更新程序 WinGUp 上，该程序在执行版本检查时会向官方 URL “https://notepad-plus-plus.org/update/getDownloadUrl.php” 发起请求，并解析返回的 XML 文件以获取下载链接。然而，这一过程在早期版本中缺乏足够的安全防护，使得攻击者有机会拦截通信并篡改 XML 中的 Download-URL 字段。

一旦攻击者成功劫持流量，便可将用户引导至恶意服务器，诱使更新程序从该地址下载可执行文件，并自动将其保存至系统的 %TEMP% 目录后立即运行。这种机制为恶意代码的传播提供了便利，尤其在用户未察觉的情况下完成静默安装，极大增加了安全风险。在 Notepad v8.8.7 之前，更新程序使用的是自签名证书，无法有效验证服务器身份，从而让中间人攻击成为可能。

为应对这一严重漏洞，Notepad 自 v8.8.7 起已全面升级其安全策略，采用由 GlobalSign 签发的合法数字证书对更新内容进行签名。此举显著提升了通信的完整性和可信度，有效防止攻击者伪造或篡改更新包。官方建议所有用户尽快升级至最新版本，以规避潜在的安全威胁，并强调未来将持续加强软件供应链的安全防护措施。