文章总结： Notepad++与XZ后门事件揭示了供应链攻击进入动态迭代与纵深伪装新阶段。攻击者通过月度重构攻击链、轮换基础设施、滥用合法进程与无文件技术规避传统防御。文章提出企业需构建零信任验证、持续威胁猎杀、开源治理三位一体的动态防御体系，并强调卡巴斯基EDR通过行为检测、深度遥测、回溯性IOC扫描等能力应对此类威胁，实现从被动防护向主动猎杀的转变。 综合评分： 78 文章分类： 供应链安全,漏洞分析,安全建设,威胁情报,安全运营

供应链攻击的演化与企业网络安全防御体系重塑：Notepad++与XZ后门事件的深层启示

原创

GJ GJ

网络与信息安全参考

2026年2月9日 09:09 山东

看不见的威胁，才是最危险的威胁！

1. 供应链攻击进入“纵深伪装与动态迭代”的新阶段

2026年2月，著名文本编辑器Notepad++开发团队披露，其软件更新服务器因托管服务商层面的事故，在2025年6月至9月期间遭到入侵。然而，更令人警惕的是，攻击者在官方修补漏洞后，依然保持了数月的内部访问权限，直至2025年12月。这一事件并非孤立的软件漏洞，而是一起精心策划、持续演进的高级持续性威胁。它标志着一类新型供应链攻击范式的成熟：攻击者不再满足于单次入侵和静态载荷投放，而是通过对攻击链的月度级彻底重构，包括轮换命令与控制服务器、更换载荷投递方式与最终恶意软件，来构建一个动态、隐蔽且持久化的威胁矩阵。

我们对于该安全事件的理解，应该超越单纯的技术指标分析，从企业网络安全战略管理的视角，深度剖析Notepad++事件所揭示的现代供应链攻击战术演变，并结合Linux生态中XZ Utils后门事件进行横向对比。我们将重点探讨此类攻击对企业现有安全防护体系，特别是基于静态特征匹配和已知威胁情报的传统防御模型构成的根本性挑战，并最终勾勒出面向未来的、以主动防御和深度威胁猎杀为核心的下一代安全能力建设蓝图。尤为重要的是，我们将结合此事件，具体阐述以卡巴斯基端点检测与响应（EDR专业版）为代表的现代安全解决方案如何通过其先进架构与功能，直接应对Notepad++事件中展现的复杂攻击手法，为企业管理者提供可落地的防御参考。

2. 从Notepad++事件看供应链攻击的战术升维

卡巴斯基全球研究与分析团队的调查揭示，Notepad++攻击是一场历时数月、至少包含三个独立感染链的定向行动，目标直指菲律宾的政府机构、萨尔瓦多的金融机构、越南的IT服务提供商以及多个国家的特定个人。其最显著的特征，在于攻击者为规避检测所展现出的高度纪律性和资源投入。

2.1. 动态基础设施与“月度迭代”攻击链

攻击者大约每月彻底更换一次攻击基础设施和技术栈。

• 第一阶段：攻击者利用一个陈旧的、可能被忽视的ProShow软件漏洞，配合精心设计的虚假代码填充物混淆分析视线，最终投递Cobalt Strike信标。
• 第二阶段：战术完全改变，转为滥用合法的Lua脚本解释器环境，通过内存执行Shellcode的方式加载恶意载荷。
• 第三阶段：技术路线再次切换，采用在特定地区威胁行为体中更常见的DLL侧加载技术，投递定制的Chrysalis后门。

这种“打一枪换一个地方”的策略，使得依赖公开的、滞后的威胁情报（IoC）进行排查的组织极易产生错误的安全感。卡巴斯基专家指出，在2025年10月的攻击链被公开前，针对7月至9月活动的完全不同的基础设施（IP、域名、文件哈希）的检测几乎是空白。这意味着，仅凭一份过时的IoC清单进行安全检查，很可能得出“系统洁净”的错误结论，而实际上攻击早已深植其中。

2.2. 攻击手法对传统防御的穿透

此次攻击巧妙地规避了基于签名和静态行为的检测。

1. 滥用合法进程与信任链：攻击全程大量使用合法的可执行文件（如ProShow.exe、Lua解释器相关组件）作为“带菌者”，恶意代码或作为其漏洞的利用载荷，或由其加载执行。这使攻击行为能够混迹于大量正常的软件活动之中。
2. 无文件攻击与内存操作：通过Shellcode和脚本直接在内存中解密、加载最终载荷，最大限度地减少恶意文件落地的痕迹，对抗基于文件扫描的防护。
3. 隐蔽的数据外传：利用temp[.]sh等合法文件共享服务作为数据中转站，将窃取的系统信息以看似正常的HTTPS流量外传，有效绕过基于恶意域名或异常网络连接的检测规则。

这些手法的组合，使得攻击能够穿透依赖于已知恶意软件特征库和简单启发式规则的传统端点防护。

3. 横向对比：XZ Utils开源供应链投毒 —— 一场持续多年的信任渗透

如果说Notepad++事件代表了针对商业软件分发渠道的“强攻”，那么2024年曝光的XZ Utils后门事件则揭示了开源软件供应链中更为隐蔽和长期的“信任渗透”风险。这两个案例共同构成了现代供应链攻击的一体两面。

（2025年5月卡巴斯基济南安全沙龙，卡巴斯基GReAT团队-安全专家金晔：谈供应链攻击）

3.1. 事件概述与影响

XZ Utils是一个在Linux系统中广泛使用的数据压缩库。2024年3月，安全研究人员发现其5.6.0和5.6.1版本中被植入了恶意后门代码。由于其被OpenSSH等核心系统服务间接依赖，该后门理论上允许攻击者在特定条件下远程执行任意代码，危害等级极高。这一漏洞迅速波及Red Hat、Debian、Kali Linux等多个主流发行版。

3.2. 攻击模式：社会工程与长期潜伏

此事件最令人震惊之处在于其攻击前置周期之长和手段之精巧。攻击者并非利用技术漏洞，而是通过一系列复杂的社交工程操作，瓦解了开源项目的“人”的防线：

1. 身份伪造与长期贡献：名为“Jia Tan”的用户自2021年起开始向项目提交代码，通过持续贡献、修复问题逐渐积累社区信誉。
2. 协同施压：另有账号（如“Jigar Kumar”、“Dennis Ens”）在邮件列表中向原维护者抱怨项目更新缓慢，营造需要新增维护者的“社区共识”，从而为“Jia Tan”获得提交权限铺平道路。
3. 渐进式投毒：在获得信任后，“Jia Tan”分多个阶段提交恶意代码。恶意载荷被伪装成测试文件，并通过复杂的构建脚本在编译时动态注入最终的可执行文件中，使得在源码层面审查变得极为困难。
4. 深远影响：事件的余波远未平息。2025年8月的研究发现，在Docker Hub上仍有数十个官方或衍生的容器镜像包含受污染版本的XZ库。这些镜像作为其他应用的基础层，使风险在软件供应链中持续传递。

XZ事件的核心启示在于，对供应链的攻击已从单纯的技术对抗，演变为融合了社会工程、社区运营和软件开发流程污染的混合战争。企业所依赖的“免费开源”组件，其安全性建立在维护者个人的时间、精力和警惕性之上，这本身就是一个巨大的、可被系统性利用的薄弱环节。

4. 对企业安全建设的战略启示：构建“三位一体”的动态防御体系

Notepad++和XZ事件共同指向一个结论：静态、被动、孤立的防御模式已无法应对现代供应链攻击。企业必须转向一个以深度可见性、持续威胁猎杀和快速协同响应为核心的动态防御体系。

4.1. 从“信任名单”到“零信任验证”

必须彻底审视对“合法”软件和更新渠道的无条件信任。安全策略应包含：

• 软件物料清单管理：建立并维护所有生产系统中使用的软件（包括商业软件、开源库及其版本）的精确清单，这是响应任何供应链漏洞的基础。
• 更新来源强验证：对所有软件的自动更新机制实施严格审核。强制要求数字签名验证，并考虑对关键软件采用延迟更新策略，以便有足够时间观察社区反馈和安全通告。
• 最小权限与行为监控：即使对合法软件，也应按最小权限原则配置其执行和网络访问权限，并对其异常行为（如连向陌生域名、大量读取无关文件）进行监控。

4.2. 从“事件响应”到“持续威胁猎杀”

鉴于攻击者会主动规避已知的IoC，主动的威胁猎杀变得至关重要。这要求安全团队具备：

• 跨层级数据关联分析能力：能够将端点日志、网络流量数据、云工作负载日志等进行集中关联分析，以发现那些分散在各处、单独看似无害但组合起来构成攻击链条的“微弱信号”。
• 假设驱动与行为分析：建立“如果我们是攻击者会如何利用此供应链”的思维，围绕关键资产和业务流程设计威胁模型，并基于行为模式（如进程注入、可疑的PowerShell命令执行链）而非静态特征进行搜索。

4.3. 融入开源供应链安全治理

企业必须将对开源组件的管理提升到战略高度：

• 制定开源使用政策：明确引入新开源组件的安全评估流程，包括许可证审查、已知漏洞扫描、维护活跃度评估等。
• 自动化漏洞与风险监控：集成软件组成分析工具，在开发、构建和部署阶段持续扫描SBOM，实时获取所使用组件的新曝漏洞信息。
• 参与或支持关键项目：对于业务依赖的核心开源项目，考虑通过资助、贡献代码或提供安全审计等方式，帮助提升其整体安全性和可持续性。

5. 防御实践：卡巴斯基EDR应对复杂供应链攻击的核心能力

面对Notepad++事件中展现的动态、多阶段、高度隐蔽的供应链攻击，传统防病毒软件确实力有不逮。卡巴斯基的端点检测与响应解决方案，特别是其集成在“卡巴斯基新一代安全”产品系列中的高级能力，正是为应对此类挑战而设计。结合Notepad++攻击链的特点，其关键防御价值体现在以下几个方面：

| 攻击阶段与手法 | 传统防御的挑战 | 卡巴斯基EDR的应对能力 | | — | — | — | | 初始入侵与载荷投递 | 恶意更新通过合法GUP.exe进程启动，文件可能具有合法签名或高度混淆。 | 行为检测与AMSI/LSA保护 ：监控进程行为链，检测通过合法进程触发的异常内存操作、可疑的脚本执行（如Lua脚本加载Shellcode）或利用旧漏洞（如ProShow漏洞）的行为。 | | 横向移动与权限提升 | 攻击在内存中进行，无明显恶意文件落地；使用系统管理工具。 | EDR 深度遥测 ：持续记录进程、文件、网络和注册表活动的完整遥测数据（系统级行为），支持对无文件攻击和“living-off-the-land”行为的回溯分析。 | | 命令与控制与数据外泄 | C2地址每月更换，使用合法云服务（如temp.sh）中转数据。 | 网络威胁检测与威胁情报 ：集成卡巴斯基威胁情报门户，实时分析网络连接至恶意或可疑域名/IP的信誉。检测非常规的数据外传模式（如通过User-Agent字段外传数据）。 | | 事后追溯与威胁猎杀 | 仅使用10月份的已知IoC扫描，会完全错过7-9月的攻击活动。 | 回溯性IOC扫描 ：允许安全分析师使用新获取的威胁情报（如新发现的恶意文件哈希、C2域名），对过去特定时间段内的端点历史活动数据进行重新扫描，从而发现潜伏的或之前未检测到的攻击痕迹。 | | 调查与响应 | 攻击链复杂，手动关联分析耗时费力。 | 攻击可视化与自动化响应 ：自动生成攻击链视觉图，清晰展示从初始入侵到数据外泄的全过程。提供一键式响应动作，如网络隔离、文件隔离、进程终止等，并可与KATA沙箱联动，自动提交可疑文件进行深度行为分析。 |

5.1. 应对动态基础设施与IOC失效的核心：回溯性扫描与深度遥测

卡巴斯基EDR的“回溯性IOC扫描”功能是企业应对Notepad++式攻击的“杀手锏”。当卡巴斯基GReAT团队于2026年2月公布7-9月攻击链的完整IoC清单时，部署了该方案的企业管理员可以立即在控制台创建一个任务，将这些新指标应用于对过去几个月历史数据的扫描中。这意味着，即使攻击在发生时成功躲过了实时检测，也能在威胁情报更新后被事后精准定位。这种能力彻底改变了安全运营的游戏规则，使防御方能跟上攻击方基础设施轮换的节奏。

5.2. 全景式威胁可见性与自动化响应

卡巴斯基将端点保护、EDR和XDR技术融为一体的架构，提供了应对复杂攻击所需的跨层可见性。其解决方案持续收集来自端点、网络和服务器（包括对Linux系统的支持）的细粒度遥测数据。在控制台中，这些数据被整合分析，自动生成攻击链的视觉图表，使安全团队能够快速理解攻击的全貌和影响范围。同时，平台提供丰富的自动化响应选项，如将受感染主机从网络隔离、终止恶意进程、隔离恶意文件等，极大缩短了从发现到遏制的时间窗口。

5.3. 针对Notepad++等场景的精细化管理

值得一提的是，卡巴斯基方案还考虑了企业环境的复杂性，允许进行精细化的策略配置。例如，管理员可以针对像Notepad++这样的可信开发工具，在EDR遥测中排除其正常的文件修改事件，以减少“噪音”，同时确保对其任何异常网络连接或进程创建行为的监控不受影响。这种平衡安全与业务效率的精细化控制，对于保护开发环境这类特殊场景尤为重要。

卡巴斯基下一代端点检测与响应专家，能够成功检测上述攻击中的恶意活动。

让我们更详细地了解一下 Kaspersky Next EDR Expert。 检测上述恶意活动的一种方法是监控对 LOLC2（本地 C2）服务的请求，其中包括 temp.sh。攻击者利用此类服务作为恶意载荷的中间控制点或投递点，将 C2 通信伪装成合法的网络流量。KEDR Expert 使用lolc2_connection_activity_network规则来检测此类活动。 此外，还可以通过执行攻击者在获得系统访问权限后，在攻击初期执行的典型本地侦察命令来检测上述活动。这些命令使攻击者能够快速获取有关环境、访问权限、正在运行的进程和网络连接的信息，以便规划后续行动。 KEDR Expert 使用以下规则检测此类活动：system_owner_user_discovery、using_whoami_to_check_that_current_user_is_admin、system_information_discovery_win和system_network_connections_discovery_via_standard_windows_utilities。 在这种情况下，恶意活动的一个明显迹象是通过 Windows 注册表中的自动运行机制（特别是 Run 项）获得持久性，该机制确保程序在用户登录时自动启动。KEDR Expert 使用temporary_folder_in_registry_autorun规则检测此活动。

6. 结论：迈向积极防御与生态协作的安全未来

Notepad++供应链攻击和XZ Utils后门事件，如同两面清晰的镜子，映照出数字经济时代基础设施的深刻脆弱性。攻击者已经形成了系统性的战术手册：无论是通过劫持商业软件的更新渠道发动快速、多变的定向打击，还是通过长期渗透开源社区进行“慢工出细活”的战略性潜伏，其目标都直指我们赖以生存的数字信任体系。

对企业的启示是根本性的。安全建设必须从“合规驱动”转向“威胁驱动”，从“防护已知”转向“猎杀未知”。投资于具备深度遥测、回溯性分析和自动化响应能力的现代EDR/XDR平台，不再是可选项，而是应对此类高级威胁的必需品。同时，企业必须将开源软件供应链安全治理纳入公司级风险管理框架，通过技术工具和流程规范双管齐下，降低“免费午餐”背后潜藏的巨大风险。

最终，对抗供应链攻击是一场没有终点的马拉松。它要求企业安全管理者不仅是一位技术专家，更是一位战略思考者和生态构建者。这意味着在企业内部建立跨开发、运维和安全团队的“开发安全运营”文化，在外部积极参与行业信息共享和生态协作。唯有通过持续的投入、先进工具的应用以及对安全范式的根本性革新，企业才能在日益严峻的威胁环境中，守护好自身的数字疆界。

更多时间详情，请访问卡巴斯基securelist

The Notepad++ supply chain attack — unnoticed execution chains and new IoCs

从被动告警到实证驱动：构建以全流量数据为核心的企业网络安全取证体系

从国家授时中心被攻击，看现代安全运营的三大核心能力

Windows、Linux、Mac OS 部署卡巴斯基EDR专家版后，会收集哪些信息做上下文关联分析？

浅谈对抗BRC4与卡巴斯基相关方案测试

更多 卡巴斯基 APT检测与响应，以及 SOC 运营 解决方案详情，山东地区请联系：****

高  进 – 186 6376 1060****

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网络与信息安全参考 GJ GJ《供应链攻击的演化与企业网络安全防御体系重塑：Notepad++与XZ后门事件的深层启示》