โครงการซอฟต์แวร์โอเพนซอร์ซชื่อดัง Notepad++ ออกมาเปิดเผยเหตุการณ์ด้านความปลอดภัยครั้งใหญ่ หลังพบว่าระบบอัปเดตของเว็บไซต์ถูกโจมตีและถูกแทรกแซงโดยผู้ไม่หวังดีเป็นระยะเวลานานหลายเดือน โดยการสืบสวนล่าสุดชี้ว่าเหตุการณ์ดังกล่าวมีความเชื่อมโยงกับ กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน

เหตุการณ์นี้ถูกเปิดเผยต่อเนื่องจากประกาศด้านความปลอดภัยในเวอร์ชัน v8.8.9 ซึ่งทีมพัฒนา Notepad++ ได้ร่วมมือกับผู้เชี่ยวชาญด้าน Incident Response และผู้ให้บริการโฮสติ้งรายเดิม เพื่อตรวจสอบต้นตอของการโจมตีอย่างละเอียด

แฮ็กที่ระดับโครงสร้างพื้นฐาน ไม่ใช่ช่องโหว่ของ Notepad++

จากผลการวิเคราะห์ของผู้เชี่ยวชาญด้านความปลอดภัย ระบุว่า การโจมตีครั้งนี้ ไม่ได้เกิดจากช่องโหว่ในซอร์สโค้ดของ Notepad++ แต่เป็นการเจาะระบบในระดับโครงสร้างพื้นฐานของผู้ให้บริการโฮสติ้ง (infrastructure-level compromise)

ผู้โจมตีสามารถเข้าควบคุมเซิร์ฟเวอร์ที่ใช้ให้บริการระบบอัปเดตของ Notepad++ และทำการ ดักจับพร้อมเปลี่ยนเส้นทางทราฟฟิก ของผู้ใช้บางกลุ่ม ไปยังเซิร์ฟเวอร์ของผู้โจมตีเอง เพื่อส่งไฟล์อัปเดตที่เป็นอันตรายแทนไฟล์จริง

การโจมตีมีลักษณะ “เลือกเป้าหมายเฉพาะ” (highly selective targeting) โดยไม่ได้ส่งผลกับผู้ใช้ทุกคน ซึ่งเป็นหนึ่งในเหตุผลที่ทำให้การตรวจจับทำได้ยาก

การโจมตีเริ่มตั้งแต่กลางปี 2025

ข้อมูลจากการสอบสวนระบุว่า เหตุการณ์เริ่มต้นตั้งแต่ เดือนมิถุนายน 2025 และมีนักวิจัยด้านความปลอดภัยหลายรายประเมินตรงกันว่า รูปแบบการโจมตีมีความซับซ้อนและสอดคล้องกับพฤติกรรมของ กลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐจีน

ผู้ให้บริการโฮสติ้งรายเดิมยืนยันว่า เซิร์ฟเวอร์ shared hosting ที่เกี่ยวข้องถูกบุกรุกจนถึงวันที่ 2 กันยายน 2025 ก่อนที่การอัปเดต kernel และ firmware ตามรอบบำรุงรักษาจะตัดการเข้าถึงของผู้โจมตีออกไป

อย่างไรก็ตาม แม้ผู้โจมตีจะไม่สามารถเข้าถึงเซิร์ฟเวอร์ได้โดยตรงหลังจากนั้น แต่ยังคงครอบครอง ข้อมูลรับรอง (credentials) ของระบบภายในบางส่วน จนถึงวันที่ 2 ธันวาคม 2025 ซึ่งทำให้ยังสามารถเปลี่ยนเส้นทางทราฟฟิกอัปเดตของ Notepad++ ได้เป็นระยะ

โจมตีเฉพาะโดเมน Notepad++ เท่านั้น

จากการตรวจสอบ log ของผู้ให้บริการโฮสติ้ง ไม่พบว่ามีเว็บไซต์ลูกค้ารายอื่นได้รับผลกระทบ ผู้โจมตีมุ่งเป้าไปที่โดเมน notepad-plus-plus.org โดยเฉพาะ ซึ่งสะท้อนว่าผู้โจมตีมีความรู้ล่วงหน้าเกี่ยวกับกลไกการอัปเดตของ Notepad++ เวอร์ชันเก่า ที่ยังมีการตรวจสอบความถูกต้องของไฟล์อัปเดตไม่เข้มงวดเพียงพอ

ยุติการโจมตี และเสริมความปลอดภัยครบวงจร

ผู้ให้บริการโฮสติ้งระบุว่า หลังวันที่ 2 ธันวาคม 2025 ได้ดำเนินมาตรการแก้ไขทั้งหมดแล้ว ไม่ว่าจะเป็น

  • ปิดช่องโหว่ที่อาจถูกใช้โจมตีซ้ำ

  • เปลี่ยนข้อมูลรับรองทั้งหมด

  • ตรวจสอบเซิร์ฟเวอร์ทุกเครื่องเพื่อหาพฤติกรรมผิดปกติ

  • ไม่พบการโจมตีลักษณะเดียวกันในระบบอื่น

ขณะเดียวกัน เว็บไซต์ Notepad++ ได้ย้ายไปยัง ผู้ให้บริการโฮสติ้งรายใหม่ ที่มีมาตรการด้านความปลอดภัยเข้มงวดกว่าเดิม

ปรับปรุงระบบอัปเดตในตัวโปรแกรม

ภายในตัวโปรแกรม Notepad++ เอง ทีมพัฒนาได้ปรับปรุงระบบอัปเดต (WinGup) ตั้งแต่เวอร์ชัน v8.8.9 โดยเพิ่มการตรวจสอบทั้ง

  • ใบรับรอง (certificate)

  • ลายเซ็นดิจิทัลของไฟล์ติดตั้ง

นอกจากนี้ ไฟล์ XML ที่ใช้แจ้งข้อมูลอัปเดตจากเซิร์ฟเวอร์ยังถูกลงลายเซ็น (XMLDSig) และจะบังคับใช้การตรวจสอบอย่างสมบูรณ์ในเวอร์ชัน v8.9.2 ซึ่งคาดว่าจะเปิดตัวภายในประมาณหนึ่งเดือน

ขออภัยผู้ใช้ แนะนำอัปเดตเป็น v8.9.1

ผู้พัฒนา Notepad++ ได้ออกมาขอโทษผู้ใช้ทุกคนที่ได้รับผลกระทบจากเหตุการณ์ครั้งนี้ พร้อมแนะนำให้ดาวน์โหลดและติดตั้ง Notepad++ v8.9.1 ด้วยตนเอง เนื่องจากเวอร์ชันดังกล่าวรวมการปรับปรุงด้านความปลอดภัยที่สำคัญไว้แล้ว

ยังไม่มี IoC ให้เผยแพร่

แม้จะมีผู้ใช้จำนวนมากร้องขอข้อมูล Indicator of Compromise (IoC) แต่ทีม Incident Response ยืนยันว่า ไม่พบ IoC ที่ชัดเจน เช่น hash ของไฟล์อันตราย, IP หรือโดเมนของผู้โจมตี หลังจากตรวจสอบ log ขนาดกว่า 400GB เป็นเวลาหนึ่งสัปดาห์

อย่างไรก็ตาม ล่าสุดเมื่อวันที่ 3 กุมภาพันธ์ 2026 นักวิจัยจาก Rapid7 ได้ติดต่อมาเพื่อแบ่งปันรายงานการสอบสวนของตนเอง ซึ่งคาดว่าจะมีข้อมูลเชิงเทคนิคที่ชัดเจนมากกว่า รวมถึง IoC ที่เป็นประโยชน์ต่อชุมชนความปลอดภัย

ที่มา notepad-plus-plus