โปรแกรม Notepad++ ถูกโจมตี – เกิดอะไรขึ้น และวิธีปกป้องพีซีของคุณ

• บัญชีผู้ให้บริการโฮสติ้งของ Notepad++ ถูกแฮ็กระหว่างเดือนมิถุนายนถึงธันวาคม 2025
• ผู้โจมตีได้เปลี่ยนเส้นทางการรับส่งข้อมูลการอัปเดตสำหรับผู้ใช้โปรแกรมอัปเดตในตัวไปยังเซิร์ฟเวอร์ที่เป็นอันตราย
• เฉพาะผู้ใช้ที่อัปเดตผ่านตัวอัปเดตในตัวเท่านั้นที่มีความเสี่ยง การดาวน์โหลดด้วยตนเองจากแหล่งข้อมูลอย่างเป็นทางการนั้นปลอดภัย
• ไฟล์ไบนารีของแอปพลิเคชันไม่ได้ถูกบุกรุก การโจมตีครั้งนี้ใช้ประโยชน์จากช่องโหว่ของการควบคุมการตรวจสอบการอัปเดต
• นักพัฒนาได้เปลี่ยนไปใช้โฮสต์ที่ปลอดภัย เปลี่ยนข้อมูลประจำตัว และปรับปรุงการตรวจสอบความถูกต้องของโปรแกรมอัปเดต WinGup

Notepad++ ซึ่งเป็นโปรแกรมทางเลือกที่ใช้กันอย่างแพร่หลายแทน แอป Notepad ดั้งเดิมของ Windows 11ได้ยืนยันว่าบัญชีของผู้ให้บริการโฮสติ้งถูกผู้ไม่ประสงค์ดีบุกรุกระหว่างเดือนมิถุนายนถึงธันวาคม 2025 การบุกรุกครั้งนี้ทำให้ผู้โจมตีสามารถเปลี่ยนเส้นทางผู้ใช้บางรายไปยังเซิร์ฟเวอร์ที่เป็นอันตรายผ่านไฟล์อัปเดตที่ถูกบุกรุก

จากการเปิดเผยอย่างเป็นทางการผู้เชี่ยวชาญด้านความปลอดภัยระบุว่าพบช่องโหว่ระดับโครงสร้างพื้นฐานในผู้ให้บริการโฮสติ้งรายเดิมของ Notepad++ ผู้โจมตีใช้ช่องโหว่นี้เพื่อดักจับการรับส่งข้อมูลการอัปเดตที่มุ่งไปยังnotepad-plus-plus.orgโดยกำหนดเป้าหมายไปยังกลุ่มผู้ใช้บางส่วนด้วยไฟล์อัปเดตที่เป็นอันตราย นักวิเคราะห์ชี้ว่าลักษณะการโจมตีที่เจาะจงเป้าหมายบ่งชี้ว่าเป็นความพยายามในการสอดแนมมากกว่าการโจมตีด้วยมัลแวร์ในวงกว้าง

ในเบื้องต้น กลุ่มผู้ไม่ประสงค์ดีสามารถเข้าถึงเซิร์ฟเวอร์โฮสติ้งได้จนถึงวันที่ 2 กันยายน 2025 แม้จะสูญเสียการเข้าถึงโดยตรงไปแล้ว แต่พวกเขายังคงเก็บรักษาข้อมูลประจำตัวของบริการภายในไว้จนถึงวันที่ 2 ธันวาคม 2025 ทำให้สามารถดักจับการรับส่งข้อมูลการอัปเดตได้อย่างต่อเนื่อง การโจมตีครั้งนี้ใช้ประโยชน์จากช่องโหว่ที่ทราบกันดีใน Notepad++ เวอร์ชันเก่า ซึ่งรวมถึงการควบคุมการตรวจสอบการอัปเดตที่ไม่เพียงพอ

ใครบ้างที่ได้รับผลกระทบ?

เฉพาะผู้ใช้ที่อัปเดต Notepad++ ผ่านตัวอัปเดตในตัวระหว่างเดือนมิถุนายนถึงธันวาคม 2025 เท่านั้นที่จะมีความเสี่ยง อย่างไรก็ตาม ผู้ใช้ที่ดาวน์โหลดไฟล์ติดตั้งด้วยตนเอง จากเว็บไซต์อย่างเป็นทางการหรือจาก GitHub จะไม่ได้รับ ผลกระทบ

นักวิเคราะห์ด้านความปลอดภัยยืนยันว่าไม่มีหลักฐานของการควบคุมและสั่งการในวงกว้าง หรือการเจาะระบบในวงกว้าง การโจมตีดูเหมือนจะมุ่งเป้าไปที่องค์กรหรือบุคคลใดบุคคลหนึ่งโดยเฉพาะ

การแก้ไขและปรับปรุงความปลอดภัย

ตามที่ผู้พัฒนาแอประบุ Notepad++ ได้เปลี่ยนไปใช้ผู้ให้บริการโฮสติ้งรายใหม่ที่มีความปลอดภัยมากขึ้น เพื่อป้องกันการถูกโจมตีในระดับโครงสร้างพื้นฐานในอนาคต

ข้อมูลประจำตัวภายในของผู้ให้บริการรายเดิมได้ถูกหมุนเวียนแล้ว เพื่อให้แน่ใจว่าการเข้าถึงที่หลงเหลืออยู่จากผู้โจมตีได้ถูกเพิกถอนเรียบร้อยแล้ว

โปรแกรมอัปเดต WinGup ในเวอร์ชัน 8.8.9 ได้รับการปรับปรุงให้ตรวจสอบทั้งใบรับรองและลายเซ็นตัวติดตั้ง ซึ่งช่วยเพิ่มความปลอดภัยในการดาวน์โหลดการอัปเดต

คาดว่าแอปจดบันทึกนี้จะได้รับการอัปเดตเป็นเวอร์ชัน 8.9.2 ในอีกไม่กี่สัปดาห์ข้างหน้า ซึ่งจะบังคับใช้การตรวจสอบใบรับรองและลายเซ็น XMLDSig อย่างเข้มงวดสำหรับทุกการอัปเดต เพื่อปกป้องผู้ใช้จากการโจมตีโดยการปลอมแปลงหรือการเปลี่ยนเส้นทางได้ดียิ่งขึ้น

ผู้ใช้ควรทำอย่างไร?

ทีมงาน Notepad++ ขอแนะนำให้ผู้ใช้ทุกท่านอัปเดตเป็นเวอร์ชัน 8.9.1หรือใหม่กว่าด้วยตนเอง และรีเซ็ตข้อมูลรับรองสำหรับบริการใดๆ ที่เกี่ยวข้องกับสภาพแวดล้อมการโฮสติ้งเดิม รวมถึง SSH, FTP และฐานข้อมูล MySQL

นอกจากนี้ ควรทำการสแกนไวรัสแบบเต็มรูปแบบ ด้วย หากคุณอัปเดตโดยใช้โปรแกรมอัปเดตในตัวในช่วงเวลาที่ได้รับผลกระทบ

เหตุการณ์นี้เป็นเครื่องเตือนใจถึงความเสี่ยงของการโจมตีห่วงโซ่อุปทานและความจำเป็นในการตรวจสอบความถูกต้องของแหล่งที่มาและการดาวน์โหลดซอฟต์แวร์ แม้แต่บัญชีนักพัฒนาที่น่าเชื่อถือก็อาจถูกแฮ็กได้ ซึ่งเน้นย้ำถึงความสำคัญของการรักษาความปลอดภัยโฮสติ้งที่แข็งแกร่งและการตรวจสอบการอัปเดตอย่างเข้มงวด