Analyse des Notepad++-Supply-Chain-Angriffs

• Ein Supply-Chain-Angriff, bei dem die Update-Infrastruktur von Notepad++ kompromittiert und bösartige Updates verteilt wurden, dauerte von Mitte 2025 bis Oktober an
• Die Angreifer betrieben drei unterschiedliche Infektionsketten und nutzten dabei Cobalt Strike Beacon sowie einen Metasploit-Downloader
• Als betroffene Ziele wurden Privatanwender in Vietnam, El Salvador und Australien, eine Regierungsbehörde auf den Philippinen, ein Finanzinstitut in El Salvador sowie ein IT-Dienstleistungsunternehmen in Vietnam identifiziert
• Die Angriffsmethoden variierten stark, darunter Missbrauch des NSIS-Installers, Ausnutzung einer ProShow-Schwachstelle, Ausführung von Lua-Skripten und DLL-Sideloading
• Kaspersky erkannte den Angriff mit Kaspersky Next EDR Expert und nannte Kommunikation mit temp.sh, Spuren der Befehlsausführung und Registry-Autorun-Einträge als zentrale Erkennungsindikatoren

Überblick über den Vorfall

• Am 2. Februar 2026 gab das Notepad++-Entwicklungsteam bekannt, dass der Update-Server auf Ebene des Hosting-Anbieters kompromittiert wurde
  • Der Kompromittierungszeitraum reichte von Juni bis September 2025, der Zugriff auf interne Dienste dauerte bis Dezember an
• Kaspersky bestätigte, dass die Angreifer zwischen Juli und Oktober 2025 den Angriff fortsetzten und dabei fortlaufend C2-Server-Adressen, Downloader und Payloads austauschten
• Die Opferzahl war auf wenige Zielsysteme begrenzt; analysiert wurden insgesamt etwa zehn infizierte Computer

Infektionskette #1 (Ende Juli bis Anfang August 2025)

• Bösartige Update-Datei: http://45.76.155[.]202/update/update.exe
  • SHA1: 8e6e505438c21f3d281e1cc257abdbf7223b7f5a
• Der legitime Prozess GUP.exe wird ausgeführt und sammelt Systeminformationen, die anschließend an temp.sh hochgeladen werden
  • Die Ergebnisse der Befehle whoami und tasklist werden per curl übertragen
• Danach werden mehrere Dateien im Ordner %appdata%\ProShow abgelegt und ProShow.exe ausgeführt
  • Eine ProShow-Schwachstelle aus den 2010er-Jahren wird ausgenutzt, um den Metasploit-Downloader in der Datei load auszuführen
  • Der Downloader lädt einen Cobalt Strike Beacon von https://45.77.31[.]210/users/admin herunter und startet ihn
• Anfang August wurde mit derselben Kette auch eine Variante beobachtet, die die Domain cdncheck.it[.]com nutzte

Infektionskette #2 (Mitte bis Ende September 2025)

• update.exe, verteilt über dieselbe URL (SHA1: 573549869e84544e3ef253bdba79851dcde4963a)
  • Verwendet den Ordner %APPDATA%\Adobe\Scripts
  • Sammelt detaillierte Systeminformationen mit den Befehlen whoami, tasklist, systeminfo und netstat -ano
• Abgelegte Dateien: alien.dll, lua5.1.dll, script.exe, alien.ini
  • Ausführung von Shellcode aus alien.ini mithilfe des Lua-Interpreters
  • Der Metasploit-Downloader lädt einen Cobalt Strike Beacon von cdncheck.it[.]com/users/admin herunter
• Ende September erschien eine Variante, bei der die Upload-URL zu https://self-dns.it[.]com/list und der C2-Server zu safe-dns.it[.]com geändert wurden

Infektionskette #3 (Oktober 2025)

• Neuer Update-Server: http://45.32.144[.]255/update/update.exe
  • SHA1: d7ffd7b588880cf61b603346a3557e7cce648c93
• Dateien werden im Ordner %appdata%\Bluetooth\ abgelegt
  • BluetoothService.exe (legitim), log.dll (bösartig), BluetoothService (verschlüsselter Shellcode)
• Über DLL-Sideloading führt log.dll den Shellcode aus BluetoothService aus
  • Die Struktur ähnelt der Chrysalis-Backdoor; laut einer Rapid7-Analyse gibt es Fälle, in denen zusätzlich ein Cobalt Strike Beacon verteilt wurde

Wiederauftauchen von Kette #2 und URL-Änderungen (Mitte bis Ende Oktober 2025)

• Neue URL: http://95.179.213[.]0/update/update.exe
  • Die bisherigen Domains self-dns.it[.]com und safe-dns.it[.]com werden erneut verwendet
• Ende Oktober traten Varianten mit Dateinamen wie install.exe und AutoUpdater.exe auf
  • Nach November wurden keine weiteren Infektionen beobachtet

Fazit und Empfehlungen zur Erkennung

• Die Angreifer übernahmen den Notepad++-Update-Server, um in risikoreiche Organisationen einzudringen
  • Durch monatliche Änderungen der Infektionskette hielten sie ihren Zugriff dauerhaft aufrecht
• Empfehlungen für Erkennung und Reaktion
  • Vom NSIS-Installer erzeugte Logs (%localappdata%\Temp\ns.tmp) prüfen
  • Kommunikation mit der Domain temp.sh sowie Anfragen mit eingebetteter URL im User-Agent erkennen
  • Spuren der Ausführung von whoami, tasklist, systeminfo, netstat -ano untersuchen
  • Bösartige Domains und Dateihashes anhand der IoC-Liste suchen

Kaspersky-Erkennung

• Kaspersky Next EDR Expert erkannte das Angriffsverhalten
  • Kommunikation mit temp.sh wurde durch die Regel lolc2_connection_activity_network erkannt
  • Lokale Aufklärungsbefehle wurden durch Regeln wie system_owner_user_discovery und system_information_discovery_win erkannt
  • Registry-Autorun-Einträge wurden durch die Regel temporary_folder_in_registry_autorun erkannt

Zusammenfassung der wichtigsten IoCs

• Bösartige Update-URLs:
  • http://45.76.155[.]202/update/update.exe, http://45.32.144[.]255/update/update.exe, http://95.179.213[.]0/update/update.exe usw.
• Cobalt-Strike-bezogene URLs:
  • https://45.77.31[.]210/users/admin, https://cdncheck.it[.]com/users/admin, https://safe-dns.it[.]com/help/Get-Start
• Pfade zu bösartigen Dateien:
  • %appdata%\ProShow\load, %appdata%\Adobe\Scripts\alien.ini, %appdata%\Bluetooth\BluetoothService
• Wichtige Hashes:
  • 8e6e505438c21f3d281e1cc257abdbf7223b7f5a, 573549869e84544e3ef253bdba79851dcde4963a, d7ffd7b588880cf61b603346a3557e7cce648c93 usw.

Dieser Vorfall zeigt die zunehmende Raffinesse von Supply-Chain-Angriffen und die Weiterentwicklung mehrstufiger Infektionsketten und unterstreicht die Notwendigkeit einer strengeren Integritätsprüfung von Updates für Entwickler und Betreiber von IT-Infrastrukturen.