正当 Notepad++ 项目组持续完善其 Windows 平台编辑器功能时,一个针对 macOS 用户的复杂威胁生态正在悄然成型。由于 Notepad++ 官方从未发布过原生的 macOS 版本,攻击者正是利用这一信息差,构建了从搜索引擎广告到恶意站点的完整攻击链条。2026 年 2 月,安全厂商 Bitdefender 首次披露了利用被劫持 Google Ads 账户分发假冒 Notepad++ 安装器的恶意活动,该活动不仅侵犯了软件商标权,更直接威胁到用户的系统安全与数据资产。
攻击链条的完整解析
这起假冒 Notepad++ 事件的攻击手法呈现出高度组织化的特征,整个感染流程涉及多个阶段的平台滥用。首先,攻击者通过某种方式获取了至少 35 个来自美国、加拿大、意大利、巴西、日本等十余个国家的 Google Ads 广告账户,这些账户此前曾推广合法业务,随后被攻击者劫持并重新用于分发恶意内容。在用户搜索「Notepad++ Mac 下载」等关键词时,这些被劫持的账户会投放精心伪装的赞助广告,将受害者引导至托管在 Evernote 平台上的共享笔记页面。这些页面看起来像正规的软件安装教程,实际上则嵌入了经过 Base64 编码的恶意终端命令,一旦用户按照页面指示在终端中执行该命令,恶意 payload 便会立即生效。
值得特别关注的是,最终交付的恶意软件为 MacSync Stealer 的变种(版本号 1.1.2,build tag 为「symbiot」),该木马专门设计用于窃取加密货币钱包、浏览器凭证、Cookie 数据以及 macOS Notes 内容,甚至能够弹出虚假的系统密码提示框以获取更高权限。整个攻击过程不依赖传统的软件漏洞利用,而是通过社会工程学手段诱导用户主动执行恶意命令,这种「终端命令注入」的 technique 在近年来 macOS 恶意软件中愈发常见。
供应链安全的深层隐忧
这起事件暴露了现代软件供应链中多个脆弱环节。第一个层面在于开源项目品牌保护的非对称困境:Notepad++ 作为一款历史悠久的开源编辑器,其商标缺乏持续的监控与维权资源,导致大量仿冒站点长期存在于搜索引擎结果中。攻击者只需注册一个包含「notepad-plus-plus-mac」关键词的域名,即可轻易误导大量不明真相的用户。第二个层面则涉及广告平台的安全责任缺失,Google Ads 的审核机制显然未能有效拦截被劫持账户的恶意行为,尽管这些账户此前有着良好的投放历史,但一旦凭证被盗用,平台便失去了对恶意内容的实时阻断能力。
更为关键的是 Evernote 作为合法平台被滥用的现象。攻击者将恶意内容托管在知名笔记服务上,利用了用户对平台本身的信任感,这种「信任平台背书」的思维盲区恰恰是社会工程学攻击的核心突破口。从供应链安全的角度审视,任何一个环节的沦陷都可能导致最终用户遭受攻击,无论是域名注册商、搜索引擎、广告平台还是笔记服务提供商,都可能成为攻击链中的可利用节点。
检测特征与防御建议
针对 macOS 平台上假冒 Notepad++ 的检测,安全从业者应当建立多层次的验证机制。首先是分发渠道验证:官方 Notepad++ 项目从未提供过独立的 macOS 安装包,任何声称提供「Notepad++ for Mac」下载的站点均为未经授权的第三方构建,真正可信的 macOS 移植版本仅存在于项目官方 GitHub 仓库中,且会附带 Apple 代码签名与公证信息。其次是安装方式识别:正规 macOS 软件均以 DMG 形式分发并通过 App Store 或直接签名验证,任何要求用户在终端中执行命令来「安装」文本编辑器的行为都应立即视为危险信号。
对于企业安全团队而言,建议采取以下具体措施:在终端设备上禁用或限制终端命令的随意执行;通过 MDM 配置将 Gatekeeper 策略设置为仅允许来自 App Store 和认证开发者的应用运行;在浏览器层面部署 URL 过滤规则,阻断对已知仿冒域名的访问请求;同时对员工进行安全意识培训,重点强调「搜索结果中的赞助广告不可信」这一基本原则。软件供应链安全的防御重心必须从传统的下载文件校验延伸至整个分发流程的可信度评估,唯有建立端到端的验证机制,才能在攻击者不断变换手法的同时保障用户群体的安全。