(つ`ω´)つ => Ubuntu 台灣社群: Notepad++ 供應鏈攻擊事件拆解（★ 100 分） Kaspersky 旗下 Securelist 研究指出，Notepad++ 開發團隊在 2026 年 2 月 2 日公告其更新基礎設施遭入侵，起因是 2025 年 6 至 9 月間主機代管商層級事件，但攻擊者仍能持續存取部分內部服務直到 2025 年 12 月。這起供應鏈攻擊（supply chain attack，入侵軟體發佈/更新管道以感染使用者）在 2025 年 7 到 10 月間呈現高度「輪替」特徵：攻擊者頻繁更換 C2（Command and Control，指揮與控制伺服器）位址、投放器與最終酬載（payload，惡意程式實際執行內容），以小規模、目標式方式鎖定約十餘台電腦，包含越南、薩爾瓦多、澳洲的個人使用者，以及菲律賓政府機關、薩爾瓦多金融機構、越南 IT 服務供應商；Kaspersky 表示其防護在當下已攔截到相關攻擊。研究拆解出三條主要感染鏈。第一條（2025 年 7 月下旬至 8 月初）利用合法更新程式 `GUP.exe` 啟動被置換的 `update.exe`，其本體是 NSIS（Nullsoft Scriptable Install System，Windows 安裝程式框架）安裝包，會執行 `whoami`、`tasklist` 等指令蒐集系統資訊，將結果透過 `curl` 上傳到 temp.sh，再把上傳後的網址藏在 HTTP 的 User-Agent 欄位回傳給攻擊者；值得注意的是，該惡意網址在 VirusTotal 首次掃描出現於 2025 年 9 月下旬，來源使用者位於台灣。接著它投放一組檔案到 `%appdata%ProShow`，以合法的 ProShow 程式搭配早期已知漏洞啟動 exploit，解出殼碼（shellcode，置於記憶體中執行的機器碼片段），再由 Metasploit（滲透測試框架）下載器拉下 Cobalt Strike Beacon（常被濫用的紅隊工具植入程式，用於持續回連 C2）並建立通訊；期間還出現以「假殼碼」作為填充，企圖干擾研究與自動化分析。第二條（2025 年 9 月中下旬）延續相同更新投放點，但將工作目錄改到 `%APPDATA%AdobeScripts`，蒐集資訊擴充到 `systeminfo`、`netstat -ano` 等，外傳手法仍依賴 temp.sh 與 User-Agent 夾帶網址。其第二階段改用一套看似正常的 Lua 直譯器檔案，真正的惡意邏輯藏在 `alien.ini`，負責把殼碼寫入可執行記憶體並透過 `EnumWindowStationsW` API（Application Programming Interface，作業系統提供的函式介面）觸發執行，之後同樣載入 Metasploit 下載器與 Cobalt Strike；到 9 月底又分拆指令、改用不同網域與端點。第三條（2025 年 10 月）則改以 `BluetoothService.exe` 搭配 `DLL sideloading`（利用合法程式載入惡意 DLL）執行惡意 `log.dll`，將加密殼碼注入程序並落地客製化 Chrysalis 後門；Securelist 也對照 Rapid7 的事件應變觀察，指出其 Beacon 設定與通訊端點仍與前兩條鏈有多處相似。整體攻擊在 2025 年 10 月中旬到月底間繼續變更更新網址與檔名，但 11 月起未再觀測到新投放；文末提供大量入侵指標 IoC（Indicators of Compromise，可用來偵測/追獵的網域、檔案雜湊、路徑等），並建議從 NSIS 執行痕跡、企業環境罕見的 temp.sh 解析紀錄、含 temp.sh 網址的異常 User-Agent、以及 `whoami` 等指令執行紀錄著手追查。 Hacker News 留言則把焦點拉回「到底該不該立刻更新」的兩難：不少人主張把安全修補與重大版本分流、用分批上線與延後（例如新版本發布後等一個月）換取外界偵測時間；企業端若有人力可做人工核准，並盡量從內部映像檔或本機鏡像更新以降低風險。也有人強調供應鏈攻擊雖可能相對少見，但一旦命中就會同時波及大量系統，且自動更新本質上是「主動去要一個可執行檔來跑」，風險往往高於偶發的檔案解析漏洞；討論中並點出 Notepad++ 的更新工具 WinGUP 可能未檢查更新安裝檔的憑證/簽章而直接執行，讓「有簽章」不足以保證更新路徑安全，因而建議改用 winget 等套件管理工具安裝、或採 Debian stable 這類以安全更新為主的發行版策略。另一條延伸脈絡是「把傷害關在沙箱」：多位留言者呼籲桌面作業系統應更接近 iOS/Android 的細緻權限與預設隔離，Linux 的 Flatpak/Snap 雖朝此方向前進但仍受質疑，並有人提出以能力導向安全（capability-based security）落實最小權限；同時也有人以 Windows 更新可靠性問題為例，認為當更新本身常出狀況，使用者更容易關閉自動更新，反而讓防護更脆弱。 👥 41 則討論、評論 💬 https://news.ycombinator.com/item?id=46878338 #69828d6df3b937fd61d2252a

(つ`ω´)つ says to Ubuntu 台灣社群

Notepad++ 供應鏈攻擊事件拆解（★ 100 分） Kaspersky 旗下 Securelist 研究指出，Notepad++ 開發團隊在 2026 年 2 月 2 日公告其更新基礎設施遭入侵，起因是 2025 年 6 至 9 月間主機代管商層級事件，但攻擊者仍能持續存取部分內部服務直到 2025 年 12 月。這起供應鏈攻擊（supply chain attack，入侵軟體發佈/更新管道以感染使用者）在 2025 年 7 到 10 月間呈現高度「輪替」特徵：攻擊者頻繁更換 C2（Command and Control，指揮與控制伺服器）位址、投放器與最終酬載（payload，惡意程式實際執行內容），以小規模、目標式方式鎖定約十餘台電腦，包含越南、薩爾瓦多、澳洲的個人使用者，以及菲律賓政府機關、薩爾瓦多金融機構、越南 IT 服務供應商；Kaspersky 表示其防護在當下已攔截到相關攻擊。研究拆解出三條主要感染鏈。第一條（2025 年 7 月下旬至 8 月初）利用合法更新程式 `GUP.exe` 啟動被置換的 `update.exe`，其本體是 NSIS（Nullsoft Scriptable Install System，Windows 安裝程式框架）安裝包，會執行 `whoami`、`tasklist` 等指令蒐集系統資訊，將結果透過 `curl` 上傳到 temp.sh，再把上傳後的網址藏在 HTTP 的 User-Agent 欄位回傳給攻擊者；值得注意的是，該惡意網址在 VirusTotal 首次掃描出現於 2025 年 9 月下旬，來源使用者位於台灣。接著它投放一組檔案到 `%appdata%ProShow`，以合法的 ProShow 程式搭配早期已知漏洞啟動 exploit，解出殼碼（shellcode，置於記憶體中執行的機器碼片段），再由 Metasploit（滲透測試框架）下載器拉下 Cobalt Strike Beacon（常被濫用的紅隊工具植入程式，用於持續回連 C2）並建立通訊；期間還出現以「假殼碼」作為填充，企圖干擾研究與自動化分析。第二條（2025 年 9 月中下旬）延續相同更新投放點，但將工作目錄改到 `%APPDATA%AdobeScripts`，蒐集資訊擴充到 `systeminfo`、`netstat -ano` 等，外傳手法仍依賴 temp.sh 與 User-Agent 夾帶網址。其第二階段改用一套看似正常的 Lua 直譯器檔案，真正的惡意邏輯藏在 `alien.ini`，負責把殼碼寫入可執行記憶體並透過 `EnumWindowStationsW` API（Application Programming Interface，作業系統提供的函式介面）觸發執行，之後同樣載入 Metasploit 下載器與 Cobalt Strike；到 9 月底又分拆指令、改用不同網域與端點。第三條（2025 年 10 月）則改以 `BluetoothService.exe` 搭配 `DLL sideloading`（利用合法程式載入惡意 DLL）執行惡意 `log.dll`，將加密殼碼注入程序並落地客製化 Chrysalis 後門；Securelist 也對照 Rapid7 的事件應變觀察，指出其 Beacon 設定與通訊端點仍與前兩條鏈有多處相似。整體攻擊在 2025 年 10 月中旬到月底間繼續變更更新網址與檔名，但 11 月起未再觀測到新投放；文末提供大量入侵指標 IoC（Indicators of Compromise，可用來偵測/追獵的網域、檔案雜湊、路徑等），並建議從 NSIS 執行痕跡、企業環境罕見的 temp.sh 解析紀錄、含 temp.sh 網址的異常 User-Agent、以及 `whoami` 等指令執行紀錄著手追查。 Hacker News 留言則把焦點拉回「到底該不該立刻更新」的兩難：不少人主張把安全修補與重大版本分流、用分批上線與延後（例如新版本發布後等一個月）換取外界偵測時間；企業端若有人力可做人工核准，並盡量從內部映像檔或本機鏡像更新以降低風險。也有人強調供應鏈攻擊雖可能相對少見，但一旦命中就會同時波及大量系統，且自動更新本質上是「主動去要一個可執行檔來跑」，風險往往高於偶發的檔案解析漏洞；討論中並點出 Notepad++ 的更新工具 WinGUP 可能未檢查更新安裝檔的憑證/簽章而直接執行，讓「有簽章」不足以保證更新路徑安全，因而建議改用 winget 等套件管理工具安裝、或採 Debian stable 這類以安全更新為主的發行版策略。另一條延伸脈絡是「把傷害關在沙箱」：多位留言者呼籲桌面作業系統應更接近 iOS/Android 的細緻權限與預設隔離，Linux 的 Flatpak/Snap 雖朝此方向前進但仍受質疑，並有人提出以能力導向安全（capability-based security）落實最小權限；同時也有人以 Windows 更新可靠性問題為例，認為當更新本身常出狀況，使用者更容易關閉自動更新，反而讓防護更脆弱。 👥 41 則討論、評論 💬 https://news.ycombinator.com/item?id=46878338

at Wed, Feb 4, 2026 8:06 AM