文章总结： Notepad++v8.8.8及v8.8.9修复了自动更新组件WinGUp的安全隐患，此前更新流量可能被劫持导致下载恶意程序。修复措施包括加强数字签名和证书验证。作者推测原因可能是投毒、白加黑加载或WinGUP劫持，建议用户立即更新或谨慎使用软件。 综合评分： 75 文章分类： 漏洞预警,应用安全,应急响应,漏洞分析

速看！Notepad++疑似因特殊原因流量被劫持，速来应急!

原创

ChinaRan404

知攻善防实验室

2026年1月6日 08:49 浙江

简要

Notepad++ 在 v8.8.8 / v8.8.9 版本中修复了自动更新组件 WinGUp 存在的安全隐患。此前有安全研究人员发现，更新流量在特定情况下可能被劫持，导致下载并执行被篡改的恶意程序。问题根源在于更新器对下载文件的完整性和真实性校验不足。

为此，新版本加强了更新过程中的安全校验机制：对下载的安装包进行数字签名和证书验证，验证失败则直接中止更新。相关流量劫持的具体原因仍在调查中。

此外，Notepad++ 自 v8.8.7 起已使用 GlobalSign 的合法证书进行数字签名，不再需要安装根证书；v8.8.8 还新增了面向企业部署的 MSI 安装包，并修复了多选导致的崩溃问题，同时包含多项 Bug 修复与改进。

https://notepad-plus-plus.org/news/v888-released/

https://notepad-plus-plus.org/news/v889-released/
一些安全专家最近报告了影响Notepad++的流量劫持事件。根据调查，WinGUp（Notepad++的更新程序）的流量偶尔会被重定向到恶意服务器，导致下载了被篡改的可执行文件。
对报告的审查导致发现更新程序验证下载更新文件的完整性和真实性的方法存在弱点。如果攻击者能够拦截更新客户端与Notepad++更新基础设施之间的网络流量，攻击者可以利用这一弱点促使更新程序下载并执行不需要的二进制文件（而不是合法的Notepad++更新二进制文件）。为了缓解这一弱点并解决安全研究人员提出的劫持问题，Notepad++的此次发布中引入了新的安全增强功能。

个人猜测

1.DNS 劫持（概率较小）

DNS 服务器进行了劫持

2.投毒（概率中上）

网上搜索的的下载源可能不安全，极有可能被银狐投毒，大家下载的时候注意从官网下载

3.白加黑加载（极有可能）

本人猜测，没有研究过，因为 notepad++在杀软中属于高信誉用户，可能存在一些问题。

4.WinGUP劫持（极有可能）

攻击者视角：

“我不需要打 Notepad++ 本体

我只需要控制更新器一次”

建议

1.更新

2.尽量不要使用 notepad++（你懂的）

最后

(最近真的很懒，排版都不想排了)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：知攻善防实验室 ChinaRan404《速看！Notepad++疑似因特殊原因流量被劫持，速来应急!》