知名文本编辑器Notepad++的维护者指出，内置自动更新组件WinGup的更新流量曾被拦截并重定向，少数目标用户在更新过程中可能因此下载到被篡改的安装程序。Notepad++从v8.8.9版本起强化了更新验证机制，下载后会同时校验安装程序的数字签名与证书，任一验证失败即终止更新。

在官方发布的调查说明中，维护者表示此次事件并非通过Notepad++程序代码本身的漏洞被入侵，而是发生在网站托管环境的基础设施层面。与维护者合作的外部网络安全专家研判，攻击者可能在主机服务商端有针对性地拦截并重定向部分更新请求，使特定目标被导向攻击者控制的服务器，再返回被篡改的更新描述文件。维护者引用多名研究人员的评估意见，认为该行动可能与中国相关的攻击者有关。

维护者指出，异常活动自2025年6月开始。原主机服务商与事件响应团队核查记录后认为，服务器层面的可疑访问可能持续至2025年9月2日。维护者还提到，攻击者在失去主机访问权限后，仍可能持有部分内部服务凭证，最晚可能影响至2025年12月2日左右。另有外部专家评估恶意活动可能已于2025年11月10日左右停止，因此维护者将风险期估算为2025年6月至12月2日。

Notepad++官网目前已迁移至新的主机服务商，并优化了更新机制。除v8.8.9版本起新增的安装包签名与证书校验外，维护者表示更新服务器返回的更新描述文件已加入数字签名，并计划在后续版本中强制验证，以进一步降低内容被篡改的风险。维护者同时提醒，Notepad++自v8.8.7版本起已改用GlobalSign签发的正式证书进行程序签名，因此不再需要安装Notepad++自建的根证书，曾安装该根证书的用户应考虑将其移除。

维护者对受影响用户致歉，并呼吁仍在使用旧版本的用户尽快升级至v8.8.9及以上版本。如在过去一段时间内通过自动更新安装过程序，且发现系统出现异常行为，应按照所在组织的既有安全流程进一步排查与处置。