威脅情資

[OIS-CTI 情資發送 OIS-CTI-2026-02-001] -【 資安警訊 】Notepad++ 官方更新機制遭劫持,用戶恐遭植入惡意程式

發布編號:OIS-CTI-2026-02-001

情資來源:iThome、bleepingcomputer、notepad++


事件類型:供應鏈攻擊 (Supply Chain Attack)、中間人攻擊 (MitM)


內容說明

資安研究人員於 2026 年 1 月底至 2 月初觀測到,Notepad++ 所使用的更新派送元件「WinGUp」存在嚴重安全隱患。由於該元件預設使用未加密的 HTTP 協定檢查更新,攻擊者可輕易發動中間人攻擊 (MitM),攔截使用者的更新請求,並將回應導向至惡意伺服器。


受害用戶在點擊軟體內的「更新」按鈕後,會下載並執行偽裝成 Notepad++ 安裝檔的惡意程式。據 iThome 與 BleepingComputer 報導,此攻擊行動疑似由與中國有關的駭客組織發起,目的在於大規模散布間諜軟體或後門程式。官方已確認此攻擊手法,並在最新版中緊急加入對下載檔案的數位簽章 (Digital Signature) 強制驗證機制,若簽章不符將拒絕執行安裝。


image.png


 圖片來源:bleepingcomputer

影響平台

  • Notepad++ v8.8.9 以前的所有版本 (特別是使用內建自動更新功能的用戶)


建議措施


  • 立即更新至 v8.8.9 (或更新版本): 請通知內部員工切勿直接點選舊版軟體跳出的「自動更新」視窗。應由 IT 管理員至官方網站手動下載最新版安裝檔 (v8.8.9),並推送至終端設備進行覆蓋更新。

  • IOC 情資檢查 (入侵指標): 建議資安人員將下列惡意指標加入防火牆、SIEM 或 EDR 阻擋名單。若發現內部主機有下列連線紀錄,代表設備恐已遭入侵 。

    • 惡意中繼站 (C2 Domains):

      • api[.]skycloudcenter[.]com

      • api[.]wiresguard[.]com

    • 惡意 IP 位址 (Malicious IPs):

      • 61[.]4[.]102[.]97

      • 59[.]110[.]7[.]32

      • 124[.]222[.]137[.]114

      • 95[.]179[.]213[.]0

    • 惡意檔案雜湊值 (SHA256 Hashes - Chrysalis Backdoor):

      • a511be5164dc1122fb5a7daa3eef9467e43d8458425b15a640235796006590c9

      • 8ea8b83645fba6e23d48075a0d3fc73ad2ba515b4536710cda4f1f232718f53e

      • 2da00de67720f5f13b17e9d985fe70f10f153da60c9ab1086fe58f069a156924

      • (其餘相關 Hash 請參考附件完整列表)

    • 驗證數位簽章: 在安裝任何更新檔前,請務必檢查檔案內容詳細資料中的「數位簽章」頁籤,確認簽署者為 "Notepad++" 且憑證有效。

    • 網路層級阻擋: 建議在防火牆或 Proxy 設備上,暫時阻擋來自 Notepad++ 舊版更新伺服器的 HTTP (Port 80) 連線,或監控是否有異常的執行檔下載流量。


參考連結

https://www.ithome.com.tw/news/173716

https://www.bleepingcomputer.com/news/security/notepad-plus-plus-update-feature-hijacked-by-chinese-state-hackers-for-months/amp/

https://notepad-plus-plus.org/news/hijacked-incident-info-update/

https://medium.com/capturedsignal/notepad-security-incident-threat-hunting-using-kql-and-defender-for-endpoint-logs-dd83b984fcc6



附件:

完整惡意檔案雜湊列表:

  • a511be5164dc1122fb5a7daa3eef9467e43d8458425b15a640235796006590c9

  • 8ea8b83645fba6e23d48075a0d3fc73ad2ba515b4536710cda4f1f232718f53e

  • 2da00de67720f5f13b17e9d985fe70f10f153da60c9ab1086fe58f069a156924

  • 77bfea78def679aa1117f569a35e8fd1542df21f7e00e27f192c907e61d63a2e

  • 3bdc4c0637591533f1d4198a72a33426c01f69bd2e15ceee547866f65e26b7ad

  • 9276594e73cda1c69b7d265b3f08dc8fa84bf2d6599086b9acc0bb3745146600

  • f4d829739f2d6ba7e3ede83dad428a0ced1a703ec582fc73a4eee3df3704629a

  • 4a52570eeaf9d27722377865df312e295a7a23c3b6eb991944c2ecd707cc9906

  • 831e1ea13a1bd405f5bda2b9d8f2265f7b1db6c668dd2165ccc8a9c4c15ea7dd

  • 0a9b8df968df41920b6ff07785cbfebe8bda29e6b512c94a3b2a83d10014d2fd

  • 4c2ea8193f4a5db63b897a2d3ce127cc5d89687f380b97a1d91e0c8db542e4f8

  • e7cd605568c38bd6e0aba31045e1633205d0598c607a855e2e1bca4cca1c6eda

  • 078a9e5c6c787e5532a7e728720cbafee9021bfec4a30e3c2be110748d7c43c5

  • b4169a831292e245ebdffedd5820584d73b129411546e7d3eccf4663d5fc5be3

  • 7add554a98d3a99b319f2127688356c1283ed073a084805f14e33b4f6a6126fd

  • fcc2765305bcd213b7558025b2039df2265c3e0b6401e4833123c461df2de51a


--
If you have any questions, please do not hesitate to contact us.
開啟資安系統股份有限公司 Open Information Security Inc.
網路威脅情資分享 OIS-CTI (OIS Cyber Threat Intelligence)
返回列表 返回首頁