Notepad++ von staatlich unterstützten Hackern kompromittiert

 (notepad-plus-plus.org)
2 Punkte von GN⁺ 2026-02-03 | 1 Kommentare | Auf WhatsApp teilen
  • Es kam zu einem Sicherheitsvorfall, bei dem der Update-Traffic der offiziellen Notepad++-Website auf Server der Angreifer umgeleitet wurde
  • Der Angriff erfolgte durch eine Kompromittierung auf Ebene der Infrastruktur des Hosting-Anbieters und war keine Schwachstelle im Notepad++-Code selbst
  • Der Angriff dauerte von Juni 2025 bis zum 2. Dezember, und mehrere Sicherheitsforscher bewerteten ihn als Werk einer von der chinesischen Regierung unterstützten Hackergruppe
  • Die Angreifer verteilten bösartige Updates, indem sie auf ältere Notepad++-Versionen mit unzureichender Update-Validierung abzielten
  • Anschließend wurde die Sicherheit durch einen Website-Umzug, verstärkte Zertifikats- und Signaturprüfung sowie die Einführung von XML-Signaturen verbessert

Überblick über den Vorfall

  • Nach der Sicherheitsmitteilung (Ankündigung von v8.8.9) wurde die Untersuchung in Zusammenarbeit mit externen Experten und dem früheren Hosting-Anbieter durchgeführt
  • Die Analyse ergab, dass die Angreifer eine Kompromittierung auf Infrastrukturebene durchführten, die es ihnen ermöglichte, Update-Traffic zu notepad-plus-plus.org abzufangen und umzuleiten
  • Die Kompromittierung fand auf den Servern des Hosting-Anbieters statt, nicht im Notepad++-Code
  • Nur der Traffic bestimmter Nutzer wurde selektiv auf Server der Angreifer umgeleitet, die dann ein bösartiges Update-Manifest auslieferten

Zeitpunkt und Urheber des Angriffs

  • Der Angriff begann im Juni 2025
  • Mehrere unabhängige Sicherheitsforscher vermuten eine von der chinesischen Regierung unterstützte Hackergruppe
  • Charakteristisch ist, dass der Angriff sehr eingeschränkt und selektiv durchgeführt wurde

Ergebnisse der Untersuchung des Hosting-Anbieters

  • Der Anbieter bestätigte, dass der Server bis zum 2. September 2025 kompromittiert war
    • An diesem Datum wurden Kernel- und Firmware-Updates durchgeführt; danach verschwanden ähnliche Muster aus den Logs
  • Die Angreifer behielten jedoch bis zum 2. Dezember interne Service-Zugangsdaten, wodurch sie weiterhin einen Teil des Traffics umleiten konnten
  • Die Log-Analyse ergab, dass keine anderen Kunden angegriffen wurden und ausschließlich die Notepad++-Domain Ziel war
  • Nach dem 2. Dezember wurden
    • die Schwachstellen behoben und die Zugangsdaten ausgetauscht
    • auf anderen Servern keine ähnlichen Spuren einer Kompromittierung gefunden
  • Kunden wurde empfohlen, SSH-, FTP/SFTP- und MySQL-Passwörter zu ändern und WordPress-Administratorkonten zu überprüfen

Zusammenfassung (TL;DR)

  • Der Shared-Hosting-Server war bis zum 2. September 2025 kompromittiert; anschließend behielten die Angreifer bis zum 2. Dezember interne Zugangsdaten
  • Die Angreifer nutzten eine Schwäche in der Notepad++-Update-Validierung aus, um bösartige Updates zu verteilen
  • Nach dem 2. Dezember waren alle Sicherheitsmaßnahmen abgeschlossen, weitere Angriffe wurden blockiert

Reaktion und Sicherheitsverbesserungen

  • Die Notepad++-Website wurde zu einem neuen Hosting-Anbieter mit höherem Sicherheitsniveau migriert
  • Das interne Notepad++-Update-Tool WinGup erhält ab v8.8.9
    • eine Prüfung von Zertifikat und Signatur der heruntergeladenen Installationsdatei
    • eine XMLDSig-Signatur für die XML-Antwort des Update-Servers
    • ab v8.9.2 eine verpflichtende Durchsetzung der Zertifikats- und Signaturprüfung
  • Nutzern wird empfohlen, v8.9.1 manuell zu installieren

Zusätzliche Informationen und Grenzen der Untersuchung

  • Es konnten keine Indicators of Compromise (IoC) gesichert werden
    • Zwar wurden etwa 400 GB Server-Logs analysiert, aber es gab keine konkreten IoCs wie Binär-Hashes, Domains oder IPs
    • Auch beim Hosting-Anbieter wurden IoCs angefragt, jedoch nicht bereitgestellt
  • Ivan Feigl von Rapid7 teilte Ergebnisse einer separaten Untersuchung und verfügt über konkretere IoCs

Fazit

  • Der Angriff erfolgte in Form einer gezielten Manipulation von Updates durch die Kompromittierung der Hosting-Infrastruktur
  • Durch Sicherheitsverbesserungen und den Server-Umzug gilt das Problem als behoben
  • Notepad++ will künftig das System zur Update-Validierung weiter verstärken, um ähnliche Angriffe zu verhindern

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2026-02-03
Hacker-News-Kommentare

  • Ich glaube, ich bin dank meiner Firewall-Gewohnheit, Programmen den Internetzugang zu sperren, wenn sie ihn nicht wirklich brauchen, bei solchen Problemen ziemlich sicher
    Es gibt absolut keinen Grund, warum ein Texteditor auf das Internet zugreifen sollte
    Updates mache ich nur über winget, und meistens hole ich Installationsdateien von GitHub. Soweit ich weiß, sind Paketänderungen dort nur per PR möglich. Nicht perfekt, aber ziemlich vertrauenswürdig

    • Eine Ausnahme wären Dinge wie die Suche nach Updates oder das Herunterladen von Plugins, dafür ist Internetzugang ausnahmsweise sinnvoll
    • Unter macOS ist Little Snitch sehr nützlich. Es zeigt sofort an, zu welchen IPs oder Domains Verbindungen aufgebaut werden, und man kann leicht erlauben, blockieren oder Regeln festlegen
    • Ich würde gern wissen, welche Firewall-Software du verwendest. Ich denke inzwischen auch, dass ich eine Firewall nutzen sollte

  • Ich habe Updates aufgeschoben und nutze noch Version 8.5.8, daher frage ich mich, ob ich dadurch am Ende sogar in einer sichereren Lage bin
    Ich wünschte, es gäbe konkrete Informationen dazu, was mit den Leuten tatsächlich passiert ist, die das infizierte Update erhalten haben
    Ein Tool zum Prüfen der Prüfsumme der installierten Notepad++-Dateien wäre hilfreich
    Außerdem enthält die Mitteilung so viele Tippfehler, dass ich mich frage, ob sie vielleicht von einem staatlich unterstützten Hacker geschrieben wurde. Könnte die neue Version nicht ebenfalls bösartig sein?

    • Das erinnert mich an Professoren im Studium, die absichtlich fehlerhafte Aufgabenblätter ausgegeben haben. Deshalb habe ich immer gewartet, bis andere es zuerst ausprobiert und für okay befunden hatten
      Es wäre gut, wenn es ein Web-of-Trust-System gäbe, bei dem Freunde Updates zuerst testen und man ihrem Urteil vertrauen kann
    • Ich glaube nicht, dass die neueste Version immer sicherer ist. Solange es keine bekannten Schwachstellen gibt, ist eine ältere Version oft stabiler
    • Laut der offiziellen Notepad++-Website begann der Vorfall im Juni 2025
      Versionen bis einschließlich 8.8.1 sollen sicher sein. Auf GitHub werden die SHA256-Prüfsummen für jede Version veröffentlicht
    • Eine alte Version ist nicht immer schlecht. Updates können die Qualität sogar verschlechtern
      Wichtiger als Auto-Updates zu aktivieren ist es, den Code selbst zu prüfen
    • Ich lasse Auto-Updates bei Apps ausgeschaltet, die nicht direkt mit dem Internet verbunden sein müssen (außer Mail, Browser, OS usw.)
      Ich halte es für viel wahrscheinlicher, dass zufällige Apps durch bösartige Updates infiziert werden. Ich aktualisiere nur gelegentlich manuell

  • Dank Chocolatey bin ich diesem Angriff entgangen
    Der Maintainer hat die SHA256-Prüfsumme fest eincodiert und verwendet WinGuP überhaupt nicht

  • In solchen Fällen zeigt sich der Vorteil von Paketmanagern
    Da man nicht wissen kann, ob der Update-Server kompromittiert ist oder ob Prüfsummen korrekt verifiziert werden, vertraue ich eingebauten Update-Funktionen nicht
    Stattdessen verwalte ich es mit choco update notepadplusplus oder winget upgrade Notepad++.Notepad++

  • Vermutlich hängt dieser Vorfall mit Notepad++' Ankündigung zu Taiwan zusammen

    • Notepad++ hat schon früher politische Botschaften in Updates eingebaut. Es hat etwa Positionen zu Taiwan, der Ukraine und Ähnlichem bezogen
    • Früher gab es auch eine Free Uyghur Edition. Ich erinnere mich, dass damals GitHub-Issues mit chinesischen Kommentaren überflutet wurden
    • Dieser Angriff scheint nicht auf den Entwickler, sondern auf eine bestimmte Nutzergruppe gezielt gewesen zu sein
    • Ich halte es nicht für angemessen, politische Diskussionen in die Dokumentation eines Open-Source-Projekts einzubringen. Es ist die Freiheit des Autors, könnte dem Projekt aber schaden
    • Ich halte die Haltung des chinesischen Festlands, Taiwan gewaltsam eingliedern zu wollen, für problematisch
      Trotzdem finde ich, dass Software von Politik getrennt bleiben sollte. Selbst wenn man das politische Ziel unterstützt, ist es unnötig, es mit dem Code zu vermischen

  • Bei universellen Tools, die von kleinen Teams gepflegt werden, mache ich mir immer Sorgen
    Schon wenn nur ein Teil der Installationen gehackt wird, bringt ein Supply-Chain-Angriff unzählige Unternehmen in Gefahr

    • Wer macOS nutzt, sollte meiner Meinung nach unbedingt Little Snitch verwenden
      Mit Tools wie Wireshark oder Burp Suite kann man den Traffic auch direkt analysieren
      Solche Firewalls gibt es auch für Windows und Linux
    • Auto-Update-Funktionen wirken sicherheitstechnisch fragwürdig. Um sie richtig zu implementieren, ist viel Engineering-Aufwand nötig, und die meisten Unternehmen machen das nicht
    • Auch Großunternehmen sind gegen solche Angriffe nicht immun. Wenn sie nachlässig werden, trifft es sie genauso

  • Es heißt, der Traffic bestimmter Nutzer sei auf Server der Angreifer umgeleitet worden, wo sie ein bösartiges Update-Manifest erhielten
    Ich frage mich, welche Nutzer konkret das Ziel waren, aber im Text steht nur, dass Hacker mit mutmaßlicher Unterstützung der chinesischen Regierung vermutet werden

    • Vermutlich waren IP-Adressen von Universitäten, Unternehmen und Behörden die Hauptziele
    • Möglich ist auch, dass bei einigen älteren Notepad++-Versionen die Update-Verifikation unzureichend war und daher nur bestimmte Nutzer verwundbar waren
    • Wer den Server gehackt hat, weiß ich nicht. Am Ende wird alles auf einen „staatlichen Akteur“ geschoben und niemand überprüft es

  • Ich frage mich, wie die Zielsysteme tatsächlich kompromittiert wurden

    • Mehr Details stehen im Heise-Artikel und in der DoublePulsar-Analyse
      Versionen vor 8.8.7 nutzten ein selbstsigniertes Zertifikat, und dessen Schlüssel war auf GitHub offengelegt
      Der Angriff war ein manueller Eindringangriff, der nur einige Nutzer in Asien ins Visier nahm
      Statt allein dem Hosting-Anbieter die Schuld zu geben, finde ich, dass auch die Entwickler Verantwortung tragen
    • Supply-Chain-Angriffe sind wirklich beängstigend. Ich öffne in Notepad++ oft sensible Dateien und mache mir Sorgen, ob etwas abgeflossen sein könnte
    • Wahrscheinlich sollte über das Update eine Backdoor eingeschleust werden, um Überwachung oder Datendiebstahl zu ermöglichen
    • Noch immer ist nicht klar, wer genau das Ziel war. Die offizielle Mitteilung ist viel zu vage

  • Am Ende bleibt die Frage: „Was soll ich jetzt mit Notepad++ machen?“

    • Wenn man einen Paketmanager verwendet hat, ist man von diesem Angriff wahrscheinlich nicht betroffen gewesen. Falls jedoch schon die Installationsdatei selbst infiziert war, bleibt ein Risiko
    • Als Alternative würde ich KDEs Kate empfehlen. Lässt sich über Chocolatey installieren
    • Persönlich finde ich auch Gedit eine unterschätzte gute Wahl

  • Ich deaktiviere die Update-Prüfung immer direkt, sobald ich neue Software installiere
    Selbst wenn solche Angriffe selten sind, denke ich, dass Update-Anfragen den Fingerprint meines Computers und Standortinformationen preisgeben

    • Ich verstehe das wirklich nicht. Schwachstellen zur Remotecodeausführung entstehen letztlich dadurch, dass „Software erlaubt, aus der Ferne Code zu holen und auszuführen“
    • Natürlich ist es bei einer Überwachung auf dem Niveau von Room 641A schwer, sich selbst mit größter Vorsicht vollständig zu entziehen
      Wichtig ist, durch Threat Modeling ein realistisches Sicherheitsniveau aufrechtzuerhalten
    • Dann bleibt umgekehrt aber auch die Frage, wie man die Gefährdung durch nicht eingespielte Updates handhabt