Notepad++ bị xâm nhập bởi nhóm tin tặc được nhà nước hậu thuẫn

 (notepad-plus-plus.org)
2 điểm bởi GN⁺ 2026-02-03 | 1 bình luận | Chia sẻ qua WhatsApp
  • Đã xảy ra một sự cố vi phạm bảo mật khiến lưu lượng cập nhật của trang web chính thức Notepad++ bị chuyển hướng sang máy chủ của kẻ tấn công
  • Cuộc tấn công được thực hiện thông qua xâm nhập ở cấp độ hạ tầng của nhà cung cấp dịch vụ hosting, không phải do lỗ hổng trong chính mã nguồn Notepad++
  • Cuộc tấn công kéo dài từ tháng 6 năm 2025 đến ngày 2 tháng 12, và nhiều nhà nghiên cứu bảo mật đánh giá đây là hành vi của một nhóm tin tặc được chính phủ Trung Quốc hậu thuẫn
  • Kẻ tấn công nhắm vào các phiên bản Notepad++ cũ có quy trình xác minh cập nhật chưa đầy đủ để phát tán bản cập nhật độc hại
  • Sau đó, bảo mật đã được tăng cường thông qua di chuyển website, siết chặt xác minh chứng chỉ và chữ ký, áp dụng chữ ký XML

Tổng quan sự cố

  • Sau thông báo bảo mật (công bố v8.8.9), cuộc điều tra đã được tiến hành với sự hợp tác của các chuyên gia bên ngoài và nhà cung cấp hosting trước đó
  • Kết quả phân tích cho thấy kẻ tấn công đã thực hiện xâm nhập ở cấp độ hạ tầng cho phép chặn và chuyển hướng lưu lượng cập nhật tới notepad-plus-plus.org
  • Vụ xâm nhập xảy ra trên máy chủ của nhà cung cấp hosting, chứ không phải trong mã nguồn Notepad++
  • Chỉ lưu lượng của một số người dùng nhất định bị chọn lọc để chuyển hướng sang máy chủ của kẻ tấn công nhằm cung cấp manifest cập nhật độc hại

Thời điểm tấn công và bên đứng sau

  • Cuộc tấn công bắt đầu từ tháng 6 năm 2025
  • Nhiều nhà nghiên cứu bảo mật độc lập nhận định đây là một nhóm tin tặc được chính phủ Trung Quốc hậu thuẫn
  • Đặc điểm nổi bật là cuộc tấn công được tiến hành rất giới hạn và có chọn lọc

Kết quả điều tra của nhà cung cấp hosting

  • Nhà cung cấp xác nhận máy chủ đã bị xâm nhập cho đến ngày 2 tháng 9 năm 2025
    • Vào ngày đó đã diễn ra cập nhật kernel và firmware, sau đó các mẫu tương tự biến mất khỏi log
  • Kẻ tấn công vẫn duy trì thông tin xác thực của dịch vụ nội bộ cho đến ngày 2 tháng 12, cho phép chuyển hướng một phần lưu lượng
  • Kết quả phân tích log cho thấy không có khách hàng nào khác là mục tiêu, chỉ tên miền Notepad++ bị nhắm tới
  • Sau ngày 2 tháng 12
    • Đã hoàn tất vá lỗ hổng và thay thế thông tin xác thực
    • Không phát hiện dấu vết xâm nhập tương tự trên các máy chủ khác
  • Khách hàng được khuyến nghị đổi mật khẩu SSH, FTP/SFTP, MySQL và kiểm tra tài khoản quản trị WordPress

Tóm tắt (TL;DR)

  • Máy chủ shared hosting đã bị xâm nhập đến ngày 2 tháng 9 năm 2025, sau đó kẻ tấn công duy trì thông tin xác thực nội bộ đến ngày 2 tháng 12
  • Kẻ tấn công đã lợi dụng điểm yếu trong việc xác minh cập nhật của Notepad++ để phát tán bản cập nhật độc hại
  • Sau ngày 2 tháng 12, toàn bộ biện pháp tăng cường bảo mật đã hoàn tất, ngăn chặn thêm các cuộc tấn công

Ứng phó và tăng cường bảo mật

  • Website Notepad++ đã được chuyển sang nhà cung cấp hosting mới có mức độ bảo mật cao hơn
  • Công cụ cập nhật nội bộ của Notepad++ là WinGup từ v8.8.9
    • Đã bổ sung tính năng xác minh chứng chỉ và chữ ký của tệp cài đặt được tải xuống
    • Áp dụng chữ ký XMLDSig cho phản hồi XML từ máy chủ cập nhật
    • Từ v8.9.2, việc xác minh chứng chỉ và chữ ký sẽ được bắt buộc áp dụng
  • Người dùng được khuyến nghị cài đặt thủ công phiên bản v8.9.1

Thông tin bổ sung và giới hạn điều tra

  • Chỉ dấu xâm nhập (Indicator of Compromise, IoC) chưa được xác định
    • Dù đã phân tích khoảng 400GB log máy chủ, không có IoC cụ thể như hash nhị phân, tên miền, IP
    • Đã yêu cầu IoC từ nhà cung cấp hosting nhưng không nhận được
  • Ivan Feigl của Rapid7 đã chia sẻ kết quả điều tra riêng và đang nắm giữ các IoC cụ thể hơn

Kết luận

  • Cuộc tấn công mang hình thức thao túng cập nhật có chủ đích thông qua xâm nhập hạ tầng hosting
  • Vấn đề hiện đã được khắc phục nhờ tăng cường bảo mật và chuyển máy chủ
  • Trong tương lai, Notepad++ sẽ tiếp tục củng cố hệ thống xác minh cập nhật để ngăn chặn các cuộc tấn công tương tự

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-02-03
Ý kiến trên Hacker News

  • Tôi nghĩ mình khá an toàn trước kiểu sự cố này nhờ thói quen dùng tường lửa để chặn truy cập Internet nếu chương trình không thực sự cần
    Trình soạn thảo văn bản hoàn toàn không có lý do gì phải truy cập Internet
    Tôi chỉ cập nhật bằng winget, và hầu hết đều lấy file cài đặt từ GitHub. Tôi hiểu là thay đổi gói chỉ có thể thực hiện thông qua PR. Không hoàn hảo nhưng khá đáng tin

    • Trường hợp như kiểm tra cập nhật hay tải plugin thì ngoại lệ, tôi nghĩ là cần truy cập Internet
    • Trên macOS, Little Snitch rất hữu ích. Nó cho biết ngay chương trình đang kết nối tới IP hay tên miền nào, và cho phép chấp nhận/chặn/đặt quy tắc rất dễ
    • Tôi tò mò không biết mọi người dùng phần mềm tường lửa nào. Giờ tôi cũng thấy mình nên bắt đầu dùng tường lửa

  • Tôi vẫn đang dùng bản 8.5.8 vì trì hoãn cập nhật, nên tự hỏi liệu kết quả lại thành ra an toàn hơn hay không
    Tôi muốn có thông tin cụ thể về những gì thực sự đã xảy ra với những người nhận bản cập nhật nhiễm mã độc
    Sẽ rất hữu ích nếu có công cụ kiểm tra checksum của file Notepad++ đã cài
    Ngoài ra thông báo còn có quá nhiều lỗi chính tả, khiến tôi nghi ngờ không biết có phải do hacker được nhà nước hậu thuẫn viết hay không. Liệu bản mới có khi còn độc hại hơn chăng?

    • Làm tôi nhớ hồi đại học, các giáo sư hay giao bài tập có lỗi. Vì thế tôi luôn đợi người khác thử trước rồi xác nhận là ổn
      Sẽ hay nếu có một hệ thống web of trust nơi bạn bè thử cập nhật trước rồi mình tin vào kết quả đó
    • Tôi không cho rằng bản mới nhất lúc nào cũng an toàn hơn. Chừng nào chưa có lỗ hổng đã biết, thì bản cũ đôi khi còn ổn định hơn
    • Theo trang chính thức của Notepad++, sự việc bắt đầu từ tháng 6/2025
      Họ nói các phiên bản từ 8.8.1 trở xuống là an toàn. GitHub cũng công khai checksum SHA256 cho từng phiên bản
    • Bản cũ không phải lúc nào cũng tệ. Cập nhật đôi khi còn làm giảm chất lượng
      Quan trọng hơn việc bật tự động cập nhật là phải tự xem xét mã nguồn
    • Tôi tắt tự động cập nhật với mọi ứng dụng không kết nối Internet trực tiếp (ngoại trừ mail, trình duyệt, OS, v.v.)
      Tôi nghĩ khả năng một ứng dụng ngẫu nhiên bị nhiễm bản cập nhật độc hại cao hơn nhiều. Thỉnh thoảng tôi chỉ cập nhật thủ công

  • Nhờ dùng Chocolatey nên tôi đã tránh được đợt tấn công này
    Người duy trì đã hardcode checksum SHA256 và hoàn toàn không dùng WinGuP

  • Trong tình huống như thế này, ưu điểm của trình quản lý gói mới lộ rõ
    Vì không thể biết máy chủ cập nhật có lỗ hổng hay checksum có được xác minh hay không, nên tôi không tin tính năng tự cập nhật
    Thay vào đó tôi quản lý bằng choco update notepadplusplus hoặc winget upgrade Notepad++.Notepad++

  • Có lẽ vụ này liên quan đến thông báo của Notepad++ về Đài Loan

    • Notepad++ từ trước tới nay vẫn đưa thông điệp chính trị vào các bản cập nhật. Họ từng thể hiện lập trường về Đài Loan, Ukraine, v.v.
    • Trước đây cũng từng có Free Uyghur Edition. Tôi nhớ khi đó issue trên GitHub bị spam bằng tiếng Trung
    • Có vẻ cuộc tấn công lần này không nhắm vào nhà phát triển mà nhắm vào một nhóm người dùng cụ thể
    • Tôi nghĩ đưa tranh luận chính trị vào tài liệu của dự án mã nguồn mở là không phù hợp. Đó là quyền tự do của tác giả, nhưng cũng có thể gây hại cho dự án
    • Tôi cho rằng thái độ muốn cưỡng ép thống nhất Đài Loan của Trung Quốc đại lục là vấn đề
      Nhưng phần mềm nên tách biệt khỏi chính trị. Dù có đồng ý với mục tiêu chính trị đó thì cũng không cần trộn nó vào code

  • Tôi luôn lo ngại với các công cụ phổ thông do đội ngũ nhỏ duy trì
    Chỉ cần một phần bản cài bị hack cũng có thể khiến vô số công ty gặp rủi ro trong một cuộc tấn công chuỗi cung ứng

    • Nếu dùng macOS thì tôi nghĩ nhất định nên dùng Little Snitch
      Bạn cũng có thể tự phân tích lưu lượng bằng các công cụ như Wireshark hay Burp Suite
      Các kiểu tường lửa như vậy cũng khả thi trên Windows và Linux
    • Tính năng tự động cập nhật gây bất an về bảo mật. Muốn làm cho chuẩn thì cần rất nhiều công sức kỹ thuật, nhưng đa số công ty không làm được vậy
    • Doanh nghiệp lớn cũng không miễn nhiễm với kiểu tấn công này. Chỉ cần lơ là là vẫn dính như thường

  • Có thông tin rằng lưu lượng của một số người dùng bị chuyển hướng sang máy chủ của kẻ tấn công và họ nhận manifest cập nhật độc hại
    Tôi tò mò không biết người dùng nào bị nhắm tới, nhưng bài viết chỉ nói là bị nghi do hacker được chính phủ Trung Quốc hậu thuẫn

    • Có lẽ IP của trường đại học, doanh nghiệp và cơ quan chính phủ là mục tiêu chính
    • Cũng có thể một số bản Notepad++ cũ có quy trình xác minh cập nhật yếu, nên chỉ một số người dùng nhất định mới dễ bị tổn thương
    • Tôi không biết ai đã hack máy chủ. Cuối cùng cứ gán là “tác nhân quốc gia” thì chẳng ai kiểm chứng được

  • Tôi muốn biết rốt cuộc hệ thống mục tiêu đã bị xâm nhập như thế nào

    • Chi tiết có trong bài của Heisephân tích của DoublePulsar
      Các phiên bản trước 8.8.7 dùng chứng chỉ tự ký, và khóa đó đã bị lộ trên GitHub
      Đây là một cuộc tấn công xâm nhập thủ công chỉ nhắm vào một số người dùng ở châu Á
      Thay vì chỉ đổ lỗi cho nhà cung cấp hosting, tôi nghĩ phía nhà phát triển cũng có trách nhiệm
    • Tấn công chuỗi cung ứng thực sự rất đáng sợ. Tôi cũng thường mở file nhạy cảm bằng Notepad++, nên lo không biết có bị lộ gì không
    • Rất có thể họ đã cài backdoor thông qua cập nhật rồi theo dõi hoặc đánh cắp dữ liệu
    • Đến giờ vẫn chưa rõ ai là mục tiêu. Công bố chính thức quá mơ hồ

  • Cuối cùng câu hỏi còn lại là: “Thế giờ tôi nên làm gì với Notepad++?”

    • Nếu bạn dùng trình quản lý gói thì nhiều khả năng không bị ảnh hưởng trong đợt này. Tuy vậy nếu chính file cài đặt bị nhiễm thì vẫn nguy hiểm
    • Một lựa chọn thay thế là Kate của KDE. Có thể cài bằng Chocolatey
    • Cá nhân tôi thấy Gedit cũng là một lựa chọn tốt nhưng bị đánh giá thấp

  • Tôi thường tắt tính năng kiểm tra cập nhật ngay sau khi cài phần mềm mới
    Dù các cuộc tấn công kiểu này hiếm gặp, tôi vẫn cho rằng yêu cầu cập nhật làm lộ dấu vân tay thiết bị và thông tin vị trí của máy mình

    • Tôi thật sự không hiểu. Lỗ hổng thực thi mã từ xa rốt cuộc xuất hiện khi “phần mềm được phép lấy mã từ xa về rồi chạy”
    • Dĩ nhiên nếu là mức giám sát kiểu Room 641A thì dù cẩn thận đến đâu cũng khó tránh hoàn toàn
      Điều quan trọng là giữ mức bảo mật thực tế thông qua threat modeling
    • Nhưng ngược lại thì cũng còn câu hỏi là phải quản lý thế nào với rủi ro phơi lộ lỗ hổng do không cập nhật