Überblick
- Von Juni 2025 bis zum 2. Dezember kam es zu einem Hijacking-Angriff, bei dem ein Teil des Notepad++-Update-Traffics auf die Infrastruktur der Angreifer umgeleitet wurde.
- Der Einbruchspunkt war nicht der Notepad++-Code, sondern die Infrastruktur eines früheren Shared-Hosting-Anbieters; bösartige Updates wurden selektiv nur an bestimmte Zielnutzer ausgeliefert.
Details zum Angriff und mutmaßliche Urheber
- Der Hosting-Server war bis zum 2025-09-02 kompromittiert; auch danach soll es bis zum 12-02 möglich gewesen sein, mithilfe abgegriffener Zugangsdaten für interne Dienste einen Teil des Traffics umzuleiten.
- Mehrere unabhängige Sicherheitsforscher (independent security researchers) halten es aufgrund des sehr eingeschränkten Targetings und des Angriffs auf Infrastruktur-Ebene für sehr wahrscheinlich, dass eine staatlich unterstützte chinesische Hackergruppe dahintersteht.
Reaktion von Notepad++
- Die gesamte Website wurde zu einem neuen Hosting-Anbieter mit höherem Sicherheitsniveau migriert.
- WinGup (der Updater) wurde in v8.8.9 gehärtet: Es wurden Zertifikats- und Signaturprüfungen für Installationsdateien sowie signierte XML-Update-Antworten eingeführt; ab v8.9.2 soll diese Prüfung verpflichtend erzwungen werden.
Empfehlungen für Nutzer
- Das Projekt entschuldigt sich für die Auswirkungen dieses Hijackings und empfiehlt, den Installer v8.9.1 mit den enthaltenen Sicherheitsverbesserungen direkt herunterzuladen und manuell zu aktualisieren
Noch keine Kommentare.