Notepad++ 漏洞事件整理，影響範圍、風險與修補重點一次

2025 年下半年，常見文字編輯器 Notepad++ 發生一起供應鏈攻擊事件。攻擊者沒有修改軟體原始碼，而是入侵更新相關的基礎設施，使部分使用者在檢查更新時接收到被竄改的更新資訊。由於攻擊利用官方更新機制的信任關係，過程相當隱蔽，使用者難以察覺。

多家資安研究機構研判，此行動與 APT 組織 Lotus Blossom 有關，主要鎖定政府、金融與科技相關機構。事件也再次提醒企業，即使是日常使用的開發工具，也可能成為供應鏈攻擊的入口。

在本次事件中，攻擊者並未入侵使用者電腦本身，而是先取得更新基礎設施的控制權，再利用此漏洞將合法更新流程轉變為惡意程式散布管道。當受害者透過舊版 Notepad++ 檢查更新時，系統可能下載並執行未經授權的安裝檔。

CVSS 評分約 8 分以上（高風險）。此漏洞存在於舊版 Notepad++ 的更新程式 WinGUp。更新流程在下載更新清單與安裝檔時，缺乏完整的數位簽章驗證機制。攻擊者若能攔截或重新導向更新流量，便有機會提供偽造的更新資訊與惡意安裝檔。

此次攻擊並非隨機散布，而是鎖定特定使用情境。特別是負責系統維運與開發工作的工作站，例如系統管理員、網路工程師或 DevOps 團隊。這些人員在日常工作中常使用 Notepad++ 編輯伺服器設定檔、檢視程式碼或調整腳本，因此一旦其電腦被植入惡意程式，攻擊者便可能取得進入內部系統的入口。

從組織類型來看，政府機構、金融機構、IT 服務商與電信業相對更容易成為目標。這些組織通常掌握大量敏感資料與核心系統，一旦管理人員的工作站被入侵，攻擊者便可能利用既有權限進一步橫向移動至其他系統。

此外，仍在使用舊版本 Notepad++ 的環境風險較高。特別是未更新更新機制的版本，在檢查更新時可能接收到被竄改的更新資訊。如果企業允許開發工具直接連線外部更新服務，且缺乏網路監控或應用程式控管，也會提高中招的可能性。

對企業而言，這類漏洞的影響不只是一台電腦被入侵。由於 Notepad++ 常出現在高權限工作站，一旦被植入後門，攻擊者可能進一步存取伺服器、原始碼庫或系統設定檔，長期進行情蒐與橫向移動，最終影響整體營運與資料安全。

因此，企業應優先評估相關工具的更新機制與版本管理，並儘速採取官方建議的修補措施。

安全建議措施（正式修補）

此次問題主要來自舊版更新程式 WinGUp 缺乏完整性驗證機制，使攻擊者可能透過偽造更新清單或安裝檔進行供應鏈攻擊。

受影響版本範圍

修補版本

官方已於新版加入更新驗證機制，建議升級至以下版本：

新版已新增以下安全機制：

臨時緩解措施（無法立即升級時）

若環境短時間內無法升級，可以先採取幾項臨時措施降低風險。首先可暫時停用 Notepad++ 的自動更新功能，避免舊版更新機制與外部更新伺服器直接通訊。

其次可透過防火牆或代理伺服器限制開發工具的外部連線，只允許必要的更新來源。這能降低更新流量被攔截或導向惡意伺服器的機會。

最後，建議加強端點監控，特別是偵測異常的 DLL 載入行為、未知程式連線外部控制伺服器，以及管理員工作站出現異常程序。這些跡象往往是供應鏈攻擊成功後的早期徵兆。

整體而言，此事件再次提醒企業，供應鏈攻擊已成為現代資安威脅的重要手法。即使是常見的工具軟體，也需要納入組織的資安管理與監控範圍。

最新文章