漏洞概述

在Notepad++中发现了一个漏洞，攻击者可以利用该漏洞向用户推送恶意更新。截至目前，据信只有与东亚利益相关的组织成为了定向攻击的目标。荷兰国家网络安全中心（NCSC）目前尚未有迹象表明荷兰境内也发生了积极的漏洞利用活动。

漏洞详情与发现

2025年12月2日，安全研究员Kevin Beaumont发布了一篇关于Notepad++漏洞的博客文章。他在博文中指出，他已与**自10月初以来遭受此漏洞利用的数个组织进行了交谈。

鉴于该漏洞的性质，其被大规模利用的可能性不大。目前已知发生漏洞利用的案例有限，且要真正利用此漏洞需要攻击者处于非常特殊的位置，这进一步强化了上述判断。

技术原理

该漏洞存在于Notepad++使用的名为GUP / WinGUP的更新程序中，只有当攻击者能够拦截并篡改客户端与Notepad++更新服务器之间的通信流量时，才能被利用。

在Notepad++的早期版本中，此通信仍通过HTTP进行。此外，Notepad++已于2025年11月在一个更新（v.8.8.8）中进行了修改，要求更新文件必须来自一个硬编码的GitHub页面。

2025年12月9日，Notepad++发布了一个更新（v.8.8.9），其中验证了所使用的证书以及下载的更新文件的签名。在更早的更新（v.8.8.7）中，当时使用的Notepad++自签名根证书已被替换为GlobalSign的证书。

处置建议

将Notepad++更新到最新版本（v.8.8.9）。从v.8.8.8版本起，风险似乎也已大大降低，因为从该版本开始，会检查gup.xml中提供的更新文件是否来自Notepad++在GitHub上的官方页面。

如果怀疑此前可能已遭入侵，可以采取以下措施：

• 检查gup.exe是否与其他域（除了 notepad-plus-plus.org、github.com 和 release-assets.githubusercontent.com）建立了网络连接。
• 检查gup.exe是否有不寻常的子进程，即除了explorer.exe和以npp开头的Notepad++安装程序进程（例如：npp.8.8.8.Installer.exe）之外的其他进程。
• 检查用户TEMP文件夹中是否存在名为update.exe和AutoUpdater.exe的文件**，因为这些文件名在Notepad++更新过程中不会使用。

如果您的组织受到此漏洞利用的影响，或对此消息有疑问，请通过 cert@ncsc.nl 与我们联系。