Người dùng Notepad ++ lưu ý: Đã đến lúc kiểm tra xem bạn có bị hack không

Tác giả tanthanh 13/03/2026 13 phút đọc

Các nhà phát triển cho biết hôm thứ Hai rằng cơ sở hạ tầng cung cấp các bản cập nhật cho trình soạn thảo văn bản được sử dụng rộng rãi của Notepad++—a cho Windows— đã bị xâm phạm trong sáu tháng bởi các tin tặc bị nghi ngờ là nhà nước Trung Quốc, những người đã sử dụng quyền kiểm soát của họ để cung cấp các phiên bản cửa sau của ứng dụng để chọn mục tiêu.

“Tôi vô cùng xin lỗi tất cả những người dùng bị ảnh hưởng bởi vụ cướp này,” tác giả của a bài đăng công bố cho quan chức notepad-plus-plus.org site viết hôm thứ Hai. Bài đăng cho biết cuộc tấn công bắt đầu vào tháng 6 năm ngoái với một thỏa hiệp cấp cơ sở hạ tầng “cho phép các tác nhân độc hại chặn và chuyển hướng lưu lượng cập nhật dành cho notepad-plus-plus.org.” Những kẻ tấn công, mà nhiều nhà điều tra gắn liền với chính phủ Trung Quốc, sau đó đã chuyển hướng có chọn lọc một số người dùng được nhắm mục tiêu đến các máy chủ cập nhật độc hại nơi họ nhận được các bản cập nhật cửa sau. Notepad ++ đã không lấy lại quyền kiểm soát cơ sở hạ tầng của mình cho đến tháng 12.

Những kẻ tấn công đã sử dụng quyền truy cập của họ để cài đặt a tải trọng chưa từng thấy đó đã được mệnh danh là Chrysalis. Công ty bảo mật Rapid 7 đã mô tả nó như một cửa sau.“tùy chỉnh, giàu tính năng

“Các nhà nghiên cứu của công ty ” cho biết, nhiều khả năng của nó cho thấy đây là một công cụ phức tạp và lâu dài chứ không phải là một tiện ích đơn giản, các nhà nghiên cứu của công ty cho biết.

Hack bàn phím thực hành

Notepad++ cho biết các quan chức của nhà cung cấp giấu tên lưu trữ cơ sở hạ tầng cập nhật đã tham khảo ý kiến của những người ứng phó sự cố và nhận thấy rằng nó vẫn bị xâm phạm cho đến ngày 2 tháng 9. Ngay cả khi đó, những kẻ tấn công vẫn duy trì thông tin xác thực cho các dịch vụ nội bộ cho đến ngày 2 tháng 12, một khả năng cho phép chúng tiếp tục chuyển hướng lưu lượng cập nhật đã chọn đến các máy chủ độc hại. Tác nhân đe dọa “nhắm mục tiêu cụ thể vào miền Notepad++ với mục tiêu khai thác các biện pháp kiểm soát xác minh cập nhật không đầy đủ tồn tại trong các phiên bản cũ hơn của Notepad++.” Nhật ký sự kiện chỉ ra rằng tin tặc đã cố gắng khai thác lại một trong những điểm yếu sau khi nó được khắc phục nhưng nỗ lực đó đã thất bại.

Theo nhà nghiên cứu độc lập Kevin Beaumont, ba tổ chức nói với hắn các thiết bị bên trong mạng của họ đã cài đặt Notepad++ đã gặp phải “sự cố bảo mật” “dẫn đến việc chạm tay vào các tác nhân đe dọa bàn phím,” có nghĩa là tin tặc có thể nắm quyền kiểm soát trực tiếp bằng giao diện dựa trên web. Beaumont cho biết cả ba tổ chức đều có lợi ích ở Đông Á.

Nhà nghiên cứu giải thích rằng sự nghi ngờ của ông đã dấy lên khi Notepad++ phiên bản 8.8.8 giới thiệu các bản sửa lỗi vào giữa tháng 11 để “làm cứng Notepad++ Updater khỏi bị tấn công để cung cấp thứ gì đó... không phải Notepad++.”

Bản cập nhật đã thực hiện các thay đổi đối với trình cập nhật Notepad++ riêng biệt được gọi là GUP hoặc cách khác là WinGUP. Gup.exe thực thi chịu trách nhiệm báo cáo phiên bản đang sử dụng để https://notepad-plus-plus.org/update/getDownloadUrl.php và sau đó lấy một URL cho bản cập nhật từ một tập tin có tên gup.xml. Tệp được chỉ định trong URL được tải xuống thư mục% TEMP% của thiết bị và sau đó được thực thi.

Beaumont đã viết:

Nếu bạn có thể chặn và thay đổi lưu lượng truy cập này, bạn có thể chuyển hướng tải xuống đến bất kỳ vị trí nào nó xuất hiện bằng cách thay đổi URL trong thuộc tính.
Lưu lượng truy cập này được cho là qua HTTPS, tuy nhiên có vẻ như bạn có thể [có thể] giả mạo lưu lượng truy cập nếu bạn ngồi ở cấp ISP và chặn TLS. Trong các phiên bản trước của Notepad++, lưu lượng truy cập chỉ qua HTTP.
Bản thân các bản tải xuống đều có chữ ký—, tuy nhiên một số phiên bản trước của Notepad++ đã sử dụng chứng chỉ gốc tự ký, có trên Github. Với phiên bản 8.8.7 trước đó, phiên bản này đã được hoàn nguyên về GlobalSign. Thực tế, có một tình huống mà việc tải xuống không được kiểm tra mạnh mẽ để giả mạo.
Vì lưu lượng truy cập vào notepad-plus-plus.org khá hiếm nên có thể ngồi bên trong chuỗi ISP và chuyển hướng đến một bản tải xuống khác. Để làm được điều này ở bất kỳ quy mô nào cũng cần rất nhiều nguồn lực.

Beaumont đã công bố lý thuyết làm việc của mình vào tháng 12, hai tháng trước ngày tư vấn hôm thứ Hai của Notepad++. Kết hợp với các chi tiết từ Notepad ++, giờ đây rõ ràng rằng giả thuyết đã được đưa ra.

Beaumont cũng cảnh báo rằng các công cụ tìm kiếm đã “đâm full” quảng cáo đẩy các phiên bản trojan hóa của Notepad++ đến mức nhiều người dùng đang vô tình chạy chúng trong mạng của họ. Một loạt các tiện ích mở rộng Notepad++ độc hại chỉ làm tăng thêm rủi ro.

Ông khuyên rằng tất cả người dùng đảm bảo rằng họ đang chạy phiên bản chính thức 8.8.8 trở lên được cài đặt thủ công từ notepad-plus-plus.org. Kể từ khi ông viết lời khuyên đó, các nhà phát triển Notepad ++ đã kêu gọi tất cả người dùng đảm bảo rằng họ đang chạy 8.9.1 trở lên.

Các tổ chức lớn hơn quản lý Notepad ++ và cập nhật nó, ông nói, nên xem xét việc chặn notepad-plus-plus.org hoặc chặn quá trình gup.exe có quyền truy cập Internet. “Bạn cũng có thể muốn chặn truy cập internet từ quy trình notepad++.exe, trừ khi bạn có sự giám sát chặt chẽ đối với các tiện ích mở rộng,”, ông nói thêm, nhưng cảnh báo “đối với hầu hết các tổ chức, điều này là quá mức cần thiết và không thực tế.”

Người dùng muốn điều tra xem thiết bị của họ có bị nhắm mục tiêu hay không nên tham khảo các chỉ báo về mức độ bảo mật bị xâm phạm của liên kết trước đó (https://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/) Rapid 7 post.