Notepad++ von staatlich unterstützten Hackern kompromittiert

(notepad-plus-plus.org)

2 Punkte von GN⁺ 2026-02-03 | Noch keine Kommentare. | Auf WhatsApp teilen

Es kam zu einem Sicherheitsvorfall, bei dem der Update-Traffic der offiziellen Notepad++-Website auf Server der Angreifer umgeleitet wurde
Der Angriff erfolgte durch eine Kompromittierung auf Ebene der Infrastruktur des Hosting-Anbieters und war keine Schwachstelle im Notepad++-Code selbst
Der Angriff dauerte von Juni 2025 bis zum 2. Dezember, und mehrere Sicherheitsforscher bewerteten ihn als Werk einer von der chinesischen Regierung unterstützten Hackergruppe
Die Angreifer verteilten bösartige Updates, indem sie auf ältere Notepad++-Versionen mit unzureichender Update-Validierung abzielten
Anschließend wurde die Sicherheit durch einen Website-Umzug, verstärkte Zertifikats- und Signaturprüfung sowie die Einführung von XML-Signaturen verbessert

Überblick über den Vorfall

Nach der Sicherheitsmitteilung (Ankündigung von v8.8.9) wurde die Untersuchung in Zusammenarbeit mit externen Experten und dem früheren Hosting-Anbieter durchgeführt
Die Analyse ergab, dass die Angreifer eine Kompromittierung auf Infrastrukturebene durchführten, die es ihnen ermöglichte, Update-Traffic zu notepad-plus-plus.org abzufangen und umzuleiten
Die Kompromittierung fand auf den Servern des Hosting-Anbieters statt, nicht im Notepad++-Code
Nur der Traffic bestimmter Nutzer wurde selektiv auf Server der Angreifer umgeleitet, die dann ein bösartiges Update-Manifest auslieferten

Der Angriff begann im Juni 2025
Mehrere unabhängige Sicherheitsforscher vermuten eine von der chinesischen Regierung unterstützte Hackergruppe
Charakteristisch ist, dass der Angriff sehr eingeschränkt und selektiv durchgeführt wurde

Der Anbieter bestätigte, dass der Server bis zum 2. September 2025 kompromittiert war
- An diesem Datum wurden Kernel- und Firmware-Updates durchgeführt; danach verschwanden ähnliche Muster aus den Logs
Die Angreifer behielten jedoch bis zum 2. Dezember interne Service-Zugangsdaten, wodurch sie weiterhin einen Teil des Traffics umleiten konnten
Die Log-Analyse ergab, dass keine anderen Kunden angegriffen wurden und ausschließlich die Notepad++-Domain Ziel war
Nach dem 2. Dezember wurden
- die Schwachstellen behoben und die Zugangsdaten ausgetauscht
- auf anderen Servern keine ähnlichen Spuren einer Kompromittierung gefunden
Kunden wurde empfohlen, SSH-, FTP/SFTP- und MySQL-Passwörter zu ändern und WordPress-Administratorkonten zu überprüfen

Der Shared-Hosting-Server war bis zum 2. September 2025 kompromittiert; anschließend behielten die Angreifer bis zum 2. Dezember interne Zugangsdaten
Die Angreifer nutzten eine Schwäche in der Notepad++-Update-Validierung aus, um bösartige Updates zu verteilen
Nach dem 2. Dezember waren alle Sicherheitsmaßnahmen abgeschlossen, weitere Angriffe wurden blockiert

Die Notepad++-Website wurde zu einem neuen Hosting-Anbieter mit höherem Sicherheitsniveau migriert
Das interne Notepad++-Update-Tool WinGup erhält ab v8.8.9
- eine Prüfung von Zertifikat und Signatur der heruntergeladenen Installationsdatei
- eine XMLDSig-Signatur für die XML-Antwort des Update-Servers
- ab v8.9.2 eine verpflichtende Durchsetzung der Zertifikats- und Signaturprüfung
Nutzern wird empfohlen, v8.9.1 manuell zu installieren

Es konnten keine Indicators of Compromise (IoC) gesichert werden
- Zwar wurden etwa 400 GB Server-Logs analysiert, aber es gab keine konkreten IoCs wie Binär-Hashes, Domains oder IPs
- Auch beim Hosting-Anbieter wurden IoCs angefragt, jedoch nicht bereitgestellt
Ivan Feigl von Rapid7 teilte Ergebnisse einer separaten Untersuchung und verfügt über konkretere IoCs

Der Angriff erfolgte in Form einer gezielten Manipulation von Updates durch die Kompromittierung der Hosting-Infrastruktur
Durch Sicherheitsverbesserungen und den Server-Umzug gilt das Problem als behoben
Notepad++ will künftig das System zur Update-Validierung weiter verstärken, um ähnliche Angriffe zu verhindern