Cảnh báo bảo mật: Notepad++ update bị hijack trong chiến dịch tấn công chuỗi cung ứng
Bizfly Cloud xin cập nhật cảnh báo bảo mật quan trọng liên quan đến ứng dụng Notepad++. Theo các báo cáo an ninh, cơ chế cập nhật (update) của Notepad++ đã bị can thiệp trong một khoảng thời gian giới hạn, từ giữa năm đến đầu tháng 12/2025, do sự cố tại hạ tầng phân phối bản cập nhật.
1. Nội dung sự cố
- Cơ chế cập nhật chính thức đã bị hijack tại tầng hosting/provider, cho phép kẻ tấn công chuyển hướng yêu cầu cập nhật đến máy chủ độc hại thay vì máy chủ chính thống.
- Đợt tấn công không khai thác lỗ hổng trong mã nguồn Notepad++ mà qua việc lợi dụng thiếu kiểm tra tính xác thực của tiến trình cập nhật (update verification) và kiểm soát hạ tầng cấp phát update.
- Chỉ những người dùng cố gắng cập nhật trong thời gian này mới bị ảnh hưởng do chiến dịch có tính lựa chọn mục tiêu.
2. Mức độ ảnh hưởng tiềm tàng
- Có thể dẫn đến tải về và cài đặt phần mềm chứa mã độc thông qua kênh cập nhật chính thức.
- Nếu người dùng chạy cập nhật trong khoảng thời gian bị tấn công, có thể bị xâm nhập hệ thống, dữ liệu bị thu thập hoặc backdoor được cài đặt.
Trong trường hợp xấu, người dùng cập nhật Notepad++ trong giai đoạn bị can thiệp có thể đối mặt với các rủi ro sau:
- Tải về và cài đặt phiên bản phần mềm đã bị chỉnh sửa, chứa mã độc
- Có thể bị xâm nhập hệ thống
- Dữ liệu bị thu thập hoặc backdoor được cài đặt
Mặc dù không có bằng chứng cho thấy tất cả người dùng cập nhật trong giai đoạn này đều bị ảnh hưởng, nhưng rủi ro là có thật đối với các hệ thống nằm trong phạm vi bị nhắm tới.
3. Khuyến nghị dành cho người dùng và doanh nghiệp
Để đảm bảo an toàn hệ thống, các biện pháp sau được khuyến nghị:
- Kiểm tra tất cả máy có Notepad++ đã cập nhật trong giai đoạn từ tháng 6-12/2025.
- Nếu nghi ngờ hoặc không chắc chắn, gỡ cài đặt Notepad++ và cài lại phiên bản mới nhất (8.9.1 trở lên) tải từ trang chính thức: https://notepad-plus-plus.org/
- Luôn bật Windows Defender, tăng cường quét malware trên các hệ thống liên quan.
- Thông báo đến tất cả đội/nhóm đang sử dụng Notepad++ để thực hiện biện pháp kiểm tra, phòng ngừa.
4. Góc nhìn an ninh chuỗi cung ứng
Sự cố này cho thấy một thực tế quan trọng đó là ngay cả phần mềm phổ biến, mã nguồn mở và được tin cậy cũng có thể trở thành mục tiêu nếu hạ tầng phân phối và quy trình cập nhật không được bảo vệ đầy đủ.
Đối với doanh nghiệp, đây là lời nhắc về việc:
- Kiểm soát phần mềm bên thứ ba (third-party software)
- Giám sát hành vi cập nhật bất thường.
Tấn công chuỗi cung ứng không còn là kịch bản hiếm gặp mà đang trở thành xu hướng phổ biến, đặc biệt thông qua các cơ chế update được mặc định tin cậy. Trường hợp của Notepad++ là minh chứng rõ ràng cho việc niềm tin vào kênh phân phối phần mềm cần được kiểm chứng liên tục, không chỉ dựa vào độ phổ biến của sản phẩm.
Việc tăng cường xác thực bản cập nhật, giám sát bất thường trong quá trình phân phối và xây dựng quy trình đánh giá rủi ro phần mềm bên thứ ba là những yếu tố then chốt để giảm thiểu nguy cơ tương tự trong tương lai.
