Notepad++ bị tấn công chiếm đoạt chuỗi cung ứng bởi một nhóm tin tặc được nhà nước hậu thuẫn, nghi có liên quan tới Trung Quốc

Tổng quan

• Từ tháng 6 năm 2025 đến ngày 2 tháng 12, đã xảy ra một cuộc tấn công chiếm đoạt khiến một phần lưu lượng cập nhật của Notepad++ bị chuyển hướng sang hạ tầng của kẻ tấn công.
• Điểm bị xâm phạm không phải là mã nguồn Notepad++ mà là hạ tầng của nhà cung cấp shared hosting trước đây, và bản cập nhật độc hại chỉ được phân phối có chọn lọc tới một số người dùng mục tiêu cụ thể.

Chi tiết cuộc tấn công và bên đứng sau

• Máy chủ hosting được đánh giá là ở trong trạng thái bị xâm phạm cho đến ngày 2025-09-02; sau đó, cho đến 12-02, vẫn có khả năng một phần lưu lượng bị chuyển hướng nhờ thông tin xác thực dịch vụ nội bộ đã bị đánh cắp.
• Nhiều nhà nghiên cứu bảo mật độc lập (independent security researchers) cho rằng, dựa trên mức độ nhắm mục tiêu rất hạn chế và đặc điểm tấn công ở cấp hạ tầng, khả năng cao đây là một nhóm tin tặc do nhà nước Trung Quốc hậu thuẫn.

Ứng phó từ phía Notepad++

• Đã chuyển toàn bộ website sang một nhà cung cấp hosting mới có mức độ bảo mật cao hơn.
• WinGup (trình cập nhật) đã được tăng cường trong v8.8.9, bổ sung xác minh chứng chỉ và chữ ký của tệp cài đặt cũng như phản hồi cập nhật XML có chữ ký; từ v8.9.2, việc xác minh này sẽ được bắt buộc.

Khuyến nghị cho người dùng

• Phía dự án đã xin lỗi về ảnh hưởng do vụ chiếm đoạt này gây ra và khuyến nghị tải trực tiếp trình cài đặt v8.9.1 có bao gồm các cải tiến bảo mật để cập nhật thủ công