Notepad++官方基础设施遭Lotus Blossom攻击，供应链安全拉响警报

攻击长达半年，瞄准政府、电信和关键基础设施领域

当最信任的开发工具变成攻击入口，谁在为你的服务器把关？

---

一场持续半年的基础设施级入侵

2025年6月至12月，一场针对全球开发者和系统管理员的精密网络攻击悄然展开。

攻击目标不是某个银行或政府部门，而是无数技术人员每天都在使用的工具——Notepad++的官方更新服务器。

2月16日，Palo Alto Networks旗下Unit 42研究人员披露，具有国家背景的威胁组织 Lotus Blossom（莲花绽放） 成功攻陷Notepad++的官方托管基础设施，在长达半年的时间内，针对政府机构、电信公司和关键基础设施领域用户发动定向攻击。

---

谁在使用Notepad++？为什么攻击者盯上它？

Notepad++是Windows平台上一款轻量级开源代码编辑器，因其启动快、体积小、功能实用，成为无数技术人员的“瑞士军刀”：

• 系统管理员用它修改服务器配置
• 网络工程师用它解析系统日志
• DevOps人员用它审核代码、编写脚本

在企业内网中，这些拥有高权限的技术人员，恰恰是攻击者最想突破的目标。试想一下，如果攻击者能够控制他们的日常工作工具，后果将是什么？

Palo Alto Networks分析师指出：通过感染Notepad++，攻击者可以绕过重重外围防御，借特权用户之手，获得对核心网络基础设施的隐式管理权限。这种对运维流程的精准打击，远比直接攻击系统漏洞更具隐蔽性和破坏力。

---

攻击链还原：一次静默的更新劫持

第一步：基础设施沦陷

Lotus Blossom组织并未直接攻击Notepad++本身，而是攻陷了其共享托管服务商的环境。这使得攻击者能够拦截原本发往Notepad++更新服务器的流量，并将其重定向至自己控制的恶意基础设施。这种供应链上游的攻击方式，让所有通过官方渠道更新的用户都可能面临风险。

第二步：利用旧版组件漏洞

攻击的突破口指向Notepad++的更新组件 WinGUp 的旧版本——其验证机制存在缺陷。

当受害者尝试更新软件时，下载的并非官方更新包，而是一个名为 update.exe 的恶意NSIS安装程序。

第三步：两条感染路径

Unit 42研究人员发现两种攻击变体：

变体A：Lua脚本注入 + Cobalt Strike
攻击者通过 EnumWindowStationsW API 注入恶意脚本，最终投递 Cobalt Strike beacon 后门——这是高级渗透测试和网络间谍活动中最常用的远控工具之一。

变体B：DLL侧加载 + Chrysalis后门
恶意安装程序滥用了合法的Bitdefender组件 BluetoothService.exe，通过DLL侧加载技术加载恶意库 log.dll，解密并执行一个名为 Chrysalis 的定制化后门。

第四步：持久化与控制

2025年8月至11月期间，研究人员观测到受感染系统与以下C2服务器地址通信：

• 45.76.155[.]202
• 45.77.31[.]210

攻击者在服务器间不断切换，以维持持久化访问。

---

Chrysalis后门：披着微软外衣的隐形杀手

Chrysalis后门采用了多层反检测技术：

• 利用 Microsoft Warbird代码保护框架 混淆自身
• 使用自定义API哈希方法降低特征检出率
• 在感染系统上建立持久的远程控制通道

成功感染后，受害系统会在数秒内向恶意服务器回传信标，并维持长时间通信。

---

谁被盯上了？全球版图曝光

这场攻击并非无差别扫射，而是高度定向的狩猎。

地理分布

主要目标位于东南亚，攻击范围同时延伸至：

• 南美洲
• 美国
• 欧洲

行业靶点

攻击者优先选择以下关键领域：

• ☁️ 云服务
• ⚡ 能源
• 💰 金融
• 🏛️ 政府机构
• 🏭 制造业
• 💻 软件研发

---

官方回应：版本更新与托管迁移

Notepad++团队已采取紧急应对措施：

✅ 已发布 v8.9.1 安全更新

• 强化下载安装程序的证书与签名验证
• 对更新服务器响应实施XML签名保护

✅ 基础设施升级

• 迁移至安全性更高的新托管服务商
• v8.9.2起将实施更严格的验证策略

---

给所有Notepad++用户的紧急建议

如果你正在使用Notepad++，请立即采取以下行动：

🔴 立即升级

前往官方下载页，获取 v8.9.1 或更高版本。

🔴 检查系统异常

• 是否存在 update.exe 非官方安装记录？
• 有无与 45.76.155[.]202、45.77.31[.]210 等IP的异常连接？

🔴 企业用户特别行动

• 排查高权限账户设备是否存在异常
• 结合EDR/SIEM日志回溯2025年下半年通信记录
• 非必要不启用自动更新，改为校验签名后手动更新

---

写在最后：供应链攻击的冰山一角

这不是Notepad++第一次成为攻击目标，也绝不会是最后一次。

当国家级攻击者将目光投向开发工具链，每一个被亿万开发者信任的软件，都可能成为通向核心网络的跳板。这一次，是更新服务器被劫持；下一次，可能是包管理器、依赖库，或你正在使用的IDE插件。对于网络与系统安全管理人员而言，这种攻击路径的转变意味着防御策略必须随之升级。

信任，需要可验证的安全来支撑。 这一事件再次警示我们，在数字世界中，即使是最基础、最熟悉的工具，其背后的供应链也可能潜藏着致命风险。保持软件更新至官方发布的最新安全版本，并持续关注来自可信技术社区的威胁情报分享，例如云栈社区，是构建有效防御的第一步。