top of page

Nguy cơ nhiễm mã độc từ chính ứng dụng Notepad quen thuộc

  • 10 giờ trước
  • 5 phút đọc

Khi nhắc đến các mối đe dọa an ninh mạng, chúng ta thường lập tức đề phòng trước trình duyệt web, các phần mềm bẻ khóa (crack) hoặc các ứng dụng lạ từ Internet. Ngược lại, những công cụ soạn thảo văn bản thuần túy như Notepad luôn được mặc định là an toàn tuyệt đối.

Tuy nhiên, chuỗi cảnh báo bảo mật mới đây đã làm thay đổi hoàn toàn tư duy này. Cả ứng dụng Windows Notepad mặc định lẫn công cụ mở rộng Notepad++ đều đang trở thành những mắt xích nguy hiểm bị hacker khai thác để tấn công người dùng.

Windows Notepad và lỗ hổng thực thi mã từ xa qua định dạng Markdown

Sự cố đầu tiên liên quan trực tiếp đến ứng dụng Windows Notepad hiện đại (phiên bản được phân phối qua Microsoft Store).

Sự cố bảo mật từ Notepad
Sự cố bảo mật từ Notepad

Theo các báo cáo được thảo luận sôi nổi trên diễn đàn công nghệ Lobsters và phân tích tại Igor's Lab, công cụ này đang dính một lỗ hổng nghiêm trọng có mã định danh là CVE-2026-20841.

Markdown là gì? Đây là một ngôn ngữ đánh dấu đơn giản giúp người dùng định dạng văn bản (như tạo chữ in đậm, chèn tiêu đề, tạo liên kết) bằng các ký tự thông thường mà không cần dùng đến các thanh công cụ phức tạp.

Điểm yếu nằm ở cách Windows Notepad xử lý và hiển thị các liên kết cấu trúc trong các tệp tin Markdown (đuôi .md). Quy trình tấn công diễn ra như sau:

  • Tin tặc sẽ tạo ra một tệp tin văn bản được can thiệp cấu trúc tinh vi, chứa các liên kết độc hại ẩn.

  • Khi người dùng mở tệp này bằng Notepad và vô tình bấm vào liên kết, ứng dụng sẽ tự động kích hoạt các giao thức hệ thống không được xác thực.

  • Thay vì chỉ mở một trang web, hành động này lại vô tình cho phép máy tính tự động tải về và chạy các đoạn mã độc từ máy chủ của hacker từ xa mà không có sự ngăn chặn của các hàng rào bảo mật Windows tiêu chuẩn.

Cuộc tấn công chuỗi cung ứng tinh vi nhắm vào Notepad++

Khác với Windows Notepad, công cụ nâng cao Notepad++ (vốn cực kỳ phổ biến trong giới lập trình viên và kỹ thuật viên IT) lại bị tấn công theo một kịch bản hoàn toàn khác: Tấn công chuỗi cung ứng (Supply Chain Attack).

Theo phân tích chuyên sâu từ hệ thống an ninh mạng Orca Security, các tin tặc thuộc nhóm Lotus Blossom đã không trực tiếp sửa đổi mã nguồn của phần mềm. Thay vào đó, chúng chọn cách chiếm quyền điều khiển hạ tầng máy chủ phân phối bản cập nhật của ứng dụng này.

Khi người dùng nhấn vào tính năng "Check for updates" (Kiểm tra cập nhật) quen thuộc, hệ thống sẽ gửi yêu cầu đến máy chủ. Tại đây, hacker đã thiết lập cơ chế điều hướng tinh vi:

  • Cuộc tấn công không diễn ra tràn lan mà được chọn lọc kỹ lưỡng dựa trên địa chỉ IP của nạn nhân.

  • Những mục tiêu giá trị cao (bao gồm một số cơ quan và doanh nghiệp công nghệ tại Việt Nam, Úc, El Salvador, Philippines) sẽ bị chuyển hướng sang một máy chủ giả mạo do hacker kiểm soát.

  • Tại đây, người dùng sẽ tải xuống một bản cài đặt chứa mã độc có tên gọi là Chrysalis. Khi cài đặt hoàn tất, phần mềm độc hại này sẽ chạy ngầm, tạo ra một "cửa sau" để hacker theo dõi, đánh cắp dữ liệu và kiểm soát toàn bộ máy tính của nạn nhân.

Bảng so sánh hai mối đe dọa bảo mật mới trên Notepad

Để giúp bạn có cái nhìn tổng quan và dễ hình dung nhất về hai sự cố công nghệ này, hãy cùng nhìn vào bảng tóm tắt dưới đây:

Tiêu chí

Lỗ hổng trên Windows Notepad

Cuộc tấn công trên Notepad++

Mã định danh

CVE-2026-20841

CVE-2025-15556

Bản chất mối đe dọa

Lỗi xử lý dữ liệu Markdown (Kích hoạt mã độc khi người dùng click vào link trong file).

Tấn công chuỗi cung ứng (Sửa đổi đường dẫn cập nhật phần mềm để cài cắm mã độc).

Cách thức tiếp cận

Đánh vào tâm lý chủ quan khi người dùng mở các file văn bản nhận từ Email, Telegram...

Lợi dụng chính tính năng cập nhật phần mềm tự động mà người dùng hoàn toàn tin tưởng.

Đối tượng bị ảnh hưởng

Người dùng Windows mở các file cấu trúc lạ.

Mang tính chọn lọc cao, nhắm vào các tổ chức và cá nhân (có ghi nhận mục tiêu tại Việt Nam).

Giải pháp bảo vệ hệ thống trước các nguy cơ ẩn nấp

Hiện tại, cả Microsoft và đội ngũ phát triển Notepad++ đều đã nhanh chóng phát hành các bản vá lỗi để bảo vệ người dùng. Để đảm bảo an toàn, bạn nên thực hiện ngay các bước sau:

  • Cập nhật Windows Notepad: Hãy truy cập Microsoft Store, kiểm tra danh sách ứng dụng và cập nhật Notepad lên phiên bản mới nhất (từ phiên bản 11.2510 trở đi đã được an toàn).

  • Nâng cấp Notepad++: Người dùng cần chủ động tải và nâng cấp phần mềm lên phiên bản 8.9.1 hoặc các phiên bản mới hơn để kích hoạt cơ chế xác thực chứng chỉ XML, ngăn chặn việc tải về các bản cập nhật giả mạo.

  • Thay đổi thói quen dùng file: Tuyệt đối từ bỏ tư duy "file văn bản thì mặc định an toàn". Bất kỳ định dạng nào như .txt, .md, .jpg hay .pdf đều có nguy cơ trở thành vũ khí tấn công nếu phần mềm xử lý chúng chưa được vá lỗi.

  • Khuyến nghị cho doanh nghiệp: Cần kích hoạt các cơ chế bảo vệ điểm cuối (Endpoint Protection) để giám sát hành vi của máy tính, thắt chặt quy định mở file từ các nguồn không xác thực và theo dõi sát sao các tiến trình lạ phát sinh ngay sau khi người dùng tương tác với các tệp tin văn bản.

Hai sự cố bảo mật kể trên là minh chứng rõ ràng cho xu hướng mới của tội phạm mạng: Tận dụng và khai thác những ứng dụng cơ bản, ít ai nghi ngờ nhất để hạ gục hàng rào phòng thủ của người dùng. Việc chủ động cập nhật phần mềm định kỳ và luôn duy trì sự cảnh giác trước mọi tệp tin nhận được là chìa khóa cốt lõi để giữ an toàn cho dữ liệu của bạn.

Bình luận

conact-ipsip-vietnam
zalo
đặt lịch hẹn
linkedin ipsip vietnam
LOGO IPSIP vietnam 1

CÔNG TY TNHH MTV IPSIP VIỆT NAM (IPSIP VIETNAM OMLLC)

​MST: 0313859600

🏢 Số SH05.01 Đường B4, Khu Saritown, Phường An Khánh, Thành phố Hồ Chí Minh, Việt Nam

​☎  +84 91 885 30 68

  • Linkedin
  • Facebook
  • TikTok
  • Email liên h��ệ
Dịch vụ nổi bật

Giải pháp cho SMEs

SOC 24/7

NOC 24/7

IT Support

An ninh mạng
Cloud

Đăng ký nhận tài liệu, tin tức an ninh mạng chuyên sâu từ IPSIP Việt Nam

bottom of page