Trình cập nhật Notepad++ bị “chiếm quyền” và lặng lẽ nhắm mục tiêu người dùng trong nhiều tháng

Trình cập nhật Notepad++, một trong những trình soạn thảo văn bản và code phổ biến nhất trên Windows, đã bị tin tặc tiêm mã độc thông qua cơ chế cập nhật trong khoảng thời gian từ tháng 6 đến tháng 12/2025.

Cách tấn công diễn ra như thế nào

Notepad++ sử dụng một hệ thống cập nhật tên là WinGUp để kiểm tra và tải bản cập nhật mới. Tuy nhiên, hệ thống này bị lợi dụng khi lưu lượng truy cập cập nhật bị chuyển hướng tới máy chủ do kẻ tấn công kiểm soát, khiến trình cập nhật tải về và cài đặt các tệp thực thi bị biến tướng thay vì bản nâng cấp chính thức.

Các nhà nghiên cứu nhận định rằng trong thời gian này, một số người dùng cụ thể — thường là tổ chức với mối quan tâm ở Đông Á — đã bị nhắm mục tiêu để nhận các bản tải xuống độc hại này một cách chọn lọc.

Notepad++ an toàn, nhưng trình cập nhật thì không

Điều quan trọng là các tệp cài đặt chính của Notepad++ không bị thay đổi trực tiếp — lỗ hổng nằm ở cơ chế tải bản cập nhật. Trong khoảng nửa năm, trình cập nhật có thể bị hacker lợi dụng để phân phối phần mềm gián điệp hoặc mã độc tới máy người dùng khi họ tin rằng mình đang cài cập nhật bình thường.

Phản ứng từ phía nhà phát triển

Don Ho — người sáng lập và duy trì Notepad++ — đã xác nhận sự việc trên trang web chính thức của dự án. Theo đó, sự cố được phát hiện thông qua các báo cáo của cộng đồng, và nhà phát triển đã củng cố hệ thống cập nhật bằng cách tăng cường kiểm tra bảo mật.

Bạn nên làm gì ngay bây giờ

Để bảo vệ hệ thống, người dùng **phải cập nhật thủ công lên Notepad++ phiên bản 8.9.1 từ trang chủ hoặc kho tải chính thức. Phiên bản này bao gồm các biện pháp kiểm tra chặt chẽ hơn về chữ ký số và tính xác thực của tệp cập nhật, giúp ngăn trình cập nhật thực thi mã không được xác nhận.

Việc này sẽ giảm nguy cơ tải về các bản cập nhật bị biến tướng thông qua server độc hại, vì trình cập nhật mới sẽ từ chối cài đặt nếu chữ ký số không hợp lệ.