สะเทือนวงการ Dev! อัปเดต Notepad++ ถูกแฮกนานเกือบครึ่งปี
ซอฟต์แวร์ยอดนิยมซึ่งเป็นเครื่องมือแก้ไขข้อความและโค้ดที่นักพัฒนา โปรแกรมเมอร์ และผู้ดูแลระบบกว่า หลายสิบล้านคนทั่วโลก ใช้กันเป็นประจำอย่าง Notepad++ เพิ่งออกมายอมรับว่าระบบอัปเดตของตัวโปรแกรมถูก แฮกแล้วเปลี่ยนเป็นช่องทางแพร่ความเสี่ยง แทนการปล่อยแพ็กเกจอัปเดตตามปกติ
เหตุการณ์นี้ถูกเปิดเผยโดยทีมพัฒนาของ Notepad++ ผ่านบล็อกอย่างเป็นทางการเมื่อวันที่ 2 กุมภาพันธ์ 2026 โดยระบุว่าการโจมตีเริ่มขึ้นในเดือนมิถุนายน 2025 และยาวนานถึงธันวาคม 2025 ก่อนที่จะถูกตรวจพบและแก้ไขในขั้นสุดท้าย
การโจมตีครั้งนี้ถือเป็นหนึ่งใน เหตุการณ์ภัยคุกคามในห่วงโซ่อุปทานซอฟต์แวร์ (software supply-chain attack) ที่รุนแรงไม่แพ้เคสระดับโลกอื่น ๆ เพราะไม่ใช่แค่โปรแกรมถูกโจมตีโดยตรง แต่เป็น กลไกอัปเดต ที่เป็นหนึ่งในช่องทางหลักที่ใช้กระจายการเปลี่ยนแปลงซอฟต์แวร์
แฮกเกอร์ที่ถูกผู้เชี่ยวชาญด้านความปลอดภัยประเมินว่า “มีความเป็นไปได้สูงว่ามีความเกี่ยวข้องกับหน่วยงานรัฐของจีน” สามารถขัดขวางและเปลี่ยนเส้นทางคำขออัปเดตไปยังเซิร์ฟเวอร์ที่พวกเขาควบคุมเอง ส่งผลให้เหยื่อที่กำหนดเป้าหมาย — ซึ่งเป็น กลุ่มผู้ใช้เฉพาะราย แทนที่จะเป็นผู้ใช้ทั่วไปทั้งหมด — ดาวน์โหลดและติดตั้งไฟล์ที่ถูกดัดแปลงแทนซอฟต์แวร์ที่ถูกต้อง
ทำให้แม้โปรแกรม Notepad++ ตัวหลักจะไม่มีช่องโหว่โดยตรง แต่ช่องโหว่กลับอยู่ที่ ระบบอัปเดตชื่อ WinGUp ซึ่งในเวอร์ชันก่อนหน้ามีการตรวจสอบความถูกต้องของไฟล์อัปเดตไม่เข้มแข็งเพียงพอ จึงเปิดโอกาสให้การดักจับและเปลี่ยนเส้นทางการดาวน์โหลดเป็นไปได้ง่ายกว่า
ความเสี่ยง
อัปเดตที่ถูกแฮกในกรณีนี้ไม่ใช่แค่ไฟล์เสียหายธรรมดา แต่เป็น การโจมตีแบบ Supply Chain ซึ่งอันตรายที่สุดรูปแบบหนึ่ง เพราะใช้ “ความเชื่อใจ” ของผู้ใช้เป็นอาวุธ แฮกเกอร์สามารถแทรกโค้ดอันตรายลงไปในกระบวนการอัปเดต ทำให้ไฟล์ที่ดูเหมือนถูกต้องตามปกติ กลับกลายเป็นช่องทางเปิดประตูให้ผู้โจมตี
ความเสี่ยงหลักของอัปเดตลักษณะนี้ ได้แก่ การฝัง backdoor เพื่อให้แฮกเกอร์เข้ามาควบคุมเครื่องจากระยะไกล การติดตั้งมัลแวร์เพิ่มเติมในภายหลังโดยไม่ต้องผู้ใช้ไม่รู้ และการใช้เครื่องของผู้ใช้เป็นจุดเริ่มต้นในการโจมตีต่อไปยังระบบอื่น เช่น เซิร์ฟเวอร์ภายใน รีโปซอร์สโค้ด หรือบัญชีคลาวด์ที่เชื่อมโยงอยู่
ที่น่ากังวลยิ่งกว่านั้นคือ แม้ผู้ใช้จะเป็นคนที่ระมัดระวังด้านความปลอดภัยสูง ใช้ซอฟต์แวร์ถูกลิขสิทธิ์ และอัปเดตสม่ำเสมอ ก็ยังสามารถตกเป็นเหยื่อได้ เพราะต้นตอของปัญหาไม่ได้อยู่ที่พฤติกรรมผู้ใช้ แต่อยู่ที่โครงสร้างพื้นฐานของซอฟต์แวร์เอง
ผลกระทบและบทเรียนซัพพลายเชน: เมื่ออัปเดตกลายเป็นประตูหลัง
ผู้ใช้ที่ได้รับผลกระทบ ไม่ใช่ทุกคน แต่เป็นกลุ่มเป้าหมายที่แฮกเกอร์เลือกไว้แล้ว (targeted attack) โดยเฉพาะนักพัฒนา, DevOps, ผู้ดูแลระบบ และองค์กรที่ใช้ Notepad++ เป็นเครื่องมือทำงานประจำ ผลกระทบสำคัญคือผู้ใช้ ไม่รู้ตัวเลยว่ากำลังติดมัลแวร์ เพราะไฟล์ที่ดาวน์โหลดมาเป็น “อัปเดต” จากฟีเจอร์อัปเดตของโปรแกรมเอง ไม่ใช่ไฟล์แปลกปลอมจากเว็บเถื่อนหรืออีเมลฟิชชิง
ผลจากการโจมตีครั้งนี้ทำให้ Notepad++ ต้องเร่งออกเวอร์ชันใหม่หลายครั้งเพื่อ ปิดช่องโหว่และเสริมความปลอดภัย โดยเฉพาะเวอร์ชัน 8.8.9 ที่ปล่อยในเดือนธันวาคม 2025 ซึ่งปรับปรุงกลไกการตรวจสอบลายเซ็นดิจิทัลและใบรับรองของตัวติดตั้งใหม่ เพื่อให้ระบบอัปเดต ปฏิเสธไฟล์ที่ไม่ได้มาจากแหล่งที่ถูกต้อง
นอกจากนี้ Notepad++ ยังย้ายเว็บไซต์และบริการอัปเดตไปยังผู้ให้บริการโฮสต์ที่มีมาตรการรักษาความปลอดภัยเข้มแข็งยิ่งขึ้นเพื่อป้องกันการโจมตีในอนาคต