Tin tức bảo mật: Website giả mạo Notepad++ Mac nguy hiểm

tin tức bảo mật ghi nhận một website giả mạo đang mạo danh phiên bản macOS của Notepad++, tạo ra rủi ro bảo mật đáng kể cho người dùng đang tìm kiếm một trình soạn thảo mã nguồn tin cậy trên Mac.

Website giả mạo Notepad++ trên macOS

Miền notepad-plus-plus-mac.org tự giới thiệu là bản phát hành chính thức của Notepad++ cho thiết bị Apple, trong khi Notepad++ vốn là trình soạn thảo chỉ dành cho Windows trong hơn 20 năm và chưa từng có bản macOS chính thức.

Trang này còn tuyên bố Notepad++ “đã có sẵn nguyên bản cho macOS”, “không cần Wine, không giả lập”, và quảng cáo là bản port hoàn chỉnh cho Apple Silicon lẫn Intel Mac. Đây là dấu hiệu điển hình của brand impersonation và typosquatting trong bối cảnh tin bảo mật mới nhất về phần mềm phổ biến.

Yếu tố làm tăng mức độ rủi ro bảo mật

Điểm nguy hiểm nằm ở chỗ website này đã khiến một số đầu mối truyền thông công nghệ nhầm lẫn và đưa tin như thể đây là bản phát hành hợp lệ. Khi một trang giả mạo tạo được vỏ bọc hợp pháp, người dùng dễ bỏ qua bước kiểm tra nguồn gốc và chữ ký số trước khi cài đặt.

Trang còn sử dụng tên và tiểu sử của Don Ho trên trang tác giả mà không có sự cho phép, làm tăng cảm giác xác thực giả. Điều này không chỉ là sai phạm thương hiệu mà còn làm tăng nguy cơ người dùng tin rằng bộ cài đã được ủy quyền chính thức.

Phân tích rủi ro bảo mật từ bản dựng không chính thức

Người phát triển đứng sau website được nêu là Andrey Letov, một kỹ sư phần mềm từ New York, và ứng dụng của ông được xây dựng dựa trên mã nguồn mở của Notepad++. Việc fork phần mềm mã nguồn mở là hợp lệ, nhưng việc gắn bản fork độc lập với tên sản phẩm gốc, logo và danh tính người sáng lập đã vượt khỏi ranh giới pháp lý và kỹ thuật an toàn.

Trong ngữ cảnh tin tức an ninh mạng, rủi ro lớn nhất của một bản dựng không chính thức là người dùng không thể xác minh chính xác những gì được đóng gói trong installer. Bộ cài có thể chứa thành phần bổ sung, thư viện bị thay thế, hoặc hành vi thực thi ẩn mà người dùng không nhìn thấy ngay.

Don Ho cũng công khai nêu rằng ông không phản đối việc fork mã nguồn mở, nhưng phản đối việc dùng tên và trademark của mình để gây nhầm lẫn trực tiếp cho người dùng lẫn báo chí. Ông đã liên hệ chủ website về vi phạm thương hiệu nhưng không nhận được phản hồi.

Liên hệ với chuỗi cung ứng phần mềm và mối đe dọa giả mạo thương hiệu

Sự việc này xuất hiện trong bối cảnh Notepad++ từng đối mặt với một cuộc tấn công mạng nghiêm trọng vào chuỗi cung ứng cập nhật trong giai đoạn từ tháng 6 đến tháng 12 năm 2025. Trong sự cố đó, hạ tầng cập nhật chính thức bị xâm nhập và phân phối một backdoor độc hại có tên Chrysalis tới nhóm người dùng được nhắm mục tiêu.

Trong các chiến dịch tương tự, tác nhân đe dọa thường dùng kỹ thuật giả mạo thương hiệu hoặc miền giống tên để phát tán infostealer, remote access trojan, hoặc các payload khác dưới vỏ bọc ứng dụng hợp pháp. Đây là dạng mối đe dọa mạng đặc biệt khó phát hiện khi người dùng tải về từ nguồn không xác minh.

Giám sát danh tiếng thương hiệu không đủ để đảm bảo an toàn; cần kiểm tra nguồn phát hành, chữ ký số, hash, và kênh phân phối chính thức. Tham khảo cảnh báo thương hiệu chính thức tại trang Notepad++ trademark infringement notice.

Kỹ thuật lạm dụng từng được ghi nhận

Các nhà nghiên cứu bảo mật từng ghi nhận những website giả mạo Notepad++ phát tán payload thông qua DLL sideloading. Kỹ thuật này đặt một thư viện độc hại cạnh binary hợp lệ để thư viện giả được nạp và thực thi âm thầm trên máy nạn nhân.

Khi người dùng tải installer từ miền không được xác minh, máy có thể bị xâm nhập mà không có dấu hiệu rõ ràng ngay lập tức. Đây là lý do các chiến dịch mạo danh phần mềm thường được xem là lỗ hổng CVE-like về mặt vận hành chuỗi phân phối, dù không gắn với một mã CVE cụ thể.

Chỉ dấu nhận diện và kiểm tra nguồn phát hành

• Tên miền đáng ngờ: notepad-plus-plus-mac.org không phải miền chính thức của dự án.
• Khẳng định sai: tuyên bố có bản macOS “native” trong khi dự án gốc chưa phát hành.
• Giả mạo danh tính: sử dụng tên và tiểu sử của Don Ho trên trang tác giả.
• Rủi ro thực thi: bộ cài không rõ nội dung, có thể bị cấy thêm DLL hoặc thành phần độc hại.

Khuyến nghị kiểm tra trước khi cài đặt

Người dùng chỉ nên tải Notepad++ từ website chính thức tại notepad-plus-plus.org. Không cài ứng dụng từ miền bên thứ ba, kể cả khi giao diện trông chuyên nghiệp hoặc được nhắc đến trên các kênh truyền thông.

Trước khi chạy bất kỳ installer nào, cần xác minh nhà phát hành, kiểm tra chữ ký số và đối chiếu hash nếu có. Đây là biện pháp cơ bản để giảm nguy cơ bảo mật từ các bản cài đặt mạo danh.

Nếu đã tải bản macOS từ notepad-plus-plus-mac.org, nên quét thiết bị bằng công cụ bảo mật đáng tin cậy ngay lập tức. Việc quét là cần thiết vì các payload kiểu sideloading có thể không hiển thị hành vi bất thường rõ ràng trong lần chạy đầu tiên.

IOC liên quan

• Domain: notepad-plus-plus-mac.org
• Tên sản phẩm bị mạo danh: Notepad++ for Mac
• Tên người sáng lập bị lạm dụng: Don Ho
• Hành vi kỹ thuật đáng chú ý: giả mạo thương hiệu, lạm dụng danh tính, phân phối installer không chính thức, có khả năng liên quan DLL sideloading

Tài liệu tham khảo

https://notepad-plus-plus.org/news/npp-trademark-infringement/