详细内容或原文请订阅后点击阅览
Notepad++ 基础设施黑客攻击可能与中国关系 APT Lotus Blossom 相关
Rapid7 研究人员表示,Notepad++ 托管漏洞很可能与与中国有联系的 Lotus Blossom APT 组织有关。最近,Notepad++ 维护者透露,民族国家黑客破坏了托管提供商的基础设施,将更新流量重定向到恶意服务器。该攻击并未利用 Notepad++ 代码中的缺陷,而是在更新到达用户之前拦截更新。 “根据 [...]
来源:Security Affairs _恶意软件Notepad++ 基础设施黑客攻击可能与中国关系 APT Lotus Blossom 相关
Rapid7 研究人员表示,Notepad++ 托管漏洞很可能与与中国有联系的 Lotus Blossom APT 组织有关。
最近,Notepad++ 维护者透露,民族国家黑客破坏了托管提供商的基础设施,将更新流量重定向到恶意服务器。该攻击并未利用 Notepad++ 代码中的缺陷,而是在更新到达用户之前拦截更新。
“根据安全专家提供的分析,此次攻击涉及基础设施级别的攻击,使得恶意行为者能够拦截并重定向发往 notepad-plus-plus.org 的更新流量。”阅读软件维护人员发布的建议。 “尽管攻击发生在托管提供商级别,而不是通过 Notepad++ 代码本身的漏洞,但确切的技术机制仍在调查中。来自某些目标用户的流量被有选择地重定向到攻击者控制的恶意更新清单。”
该事件始于 2025 年 6 月,多名研究人员根据其高度选择性的目标,将其与一个可能由中国国家资助的组织联系起来。攻击者在 2025 年 9 月 2 日之前入侵了共享托管服务器,随后在 12 月 2 日之前使用窃取的内部凭据将 Notepad++ 更新流量重定向到恶意服务器。
托管提供商将所有受影响的客户转移到新服务器,修复了被滥用的漏洞,并轮换了所有可能已暴露的凭据。
完成这些操作后,提供商检查了系统日志并确认没有证据表明攻击者持续访问或恶意活动。
安全专家发现攻击于 2025 年 11 月 10 日结束,而托管提供商报告攻击者可能在 12 月 2 日之前进行访问。结合这两项评估,攻击可能持续从 2025 年 6 月到 12 月 2 日。
在 Twitter 上关注我:@securityaffairs 以及 Facebook 和 Mastodon