Notepad++: Staatliche Hacker kompromittieren Update-Infrastruktur

Von Juni bis Dezember 2025 leiteten staatlich unterstützte Angreifer Update-Anfragen des beliebten Text-Editors auf manipulierte Server um. Die Attacke erfolgte auf Infrastruktur-Ebene des Hosting-Anbieters.

Nach Bekanntwerden einer Sicherheitslücke in Version 8.8.9 hat Notepad++-Entwickler Don Ho Details zu einem monatelangen Angriff auf die Update-Infrastruktur veröffentlicht. Sicherheitsexperten ordnen die Attacke einer chinesischen Advanced Persistent Threat-Gruppe zu.

Angriff auf Hosting-Ebene

Die Kompromittierung betraf den Shared-Hosting-Server, auf dem notepad-plus-plus.org gehostet wurde. Angreifer konnten gezielt Update-Anfragen bestimmter Nutzer abfangen und auf eigene Server mit manipulierten Update-Manifesten umleiten. Der technische Mechanismus wird weiterhin untersucht, wobei feststeht, dass keine Schwachstellen im Notepad++-Code selbst ausgenutzt wurden.

Mehrere unabhängige Sicherheitsforscher kamen nach ihrer Analyse zum Schluss, dass die hohe Selektivität der Angriffe auf eine staatlich geförderte Gruppe hindeutet. Die Angreifer gingen präzise vor und zielten offenbar auf spezifische Nutzergruppen ab.

Zeitlicher Ablauf der Kompromittierung

Der Vorfall begann im Juni 2025. Laut Stellungnahme des ehemaligen Hosting-Anbieters bestand die Kompromittierung des Shared-Hosting-Servers bis zum 2. September 2025. Selbst nach Verlust des direkten Serverzugriffs behielten die Angreifer Zugang zu internen Diensten und konnten dadurch bis zum 2. Dezember 2025 weiterhin Update-Traffic manipulieren.

Die Angreifer nutzten gezielt Schwächen in den Update-Überprüfungsmechanismen älterer Notepad++-Versionen aus. Erst am 2. Dezember 2025 wurden alle Gegenmaßnahmen und Sicherheitsverbesserungen durch den Provider abgeschlossen, wodurch weitere Aktivitäten unterbunden werden konnten.

Abweichend von der Provider-Stellungnahme deuten Analysen von Sicherheitsexperten darauf hin, dass die Angriffe bereits am 10. November 2025 endeten. Don Ho geht auf Basis beider Einschätzungen davon aus, dass der gesamte Kompromittierungszeitraum von Juni bis 2. Dezember 2025 reichte.

Umgesetzte Sicherheitsmaßnahmen

Als Reaktion auf den Vorfall wurden mehrere Maßnahmen implementiert. Die Notepad++-Website wurde zu einem neuen Hosting-Anbieter mit erweiterten Sicherheitsvorkehrungen migriert. Der Update-Mechanismus WinGup wurde in Version 8.8.9 verbessert und überprüft nun sowohl Zertifikat als auch Signatur des heruntergeladenen Installationsprogramms.

Zusätzlich wird das vom Update-Server zurückgegebene XML ab Version 8.9.2 mittels XMLDSig signiert. Diese Version wird voraussichtlich in etwa einem Monat veröffentlicht und erzwingt die Zertifikats- und Signaturüberprüfung. Don Ho betrachtet die Situation nach Umsetzung dieser Änderungen als vollständig gelöst.

Zusammenarbeit mit Experten

Die Untersuchung erfolgte unter Einbeziehung externer Sicherheitsexperten und in vollständiger Kooperation mit dem ehemaligen Hosting-Anbieter. Ein Incident-Response-Team wurde hinzugezogen, das direkt mit dem Provider kommunizierte. Don Ho entschuldigte sich bei allen betroffenen Nutzern für den Sicherheitsvorfall.

Der Fall verdeutlicht, dass auch populäre Open-Source-Projekte Ziel hochentwickelter Angriffe werden können. Die Attacke richtete sich nicht gegen den Programmcode, sondern gegen die umgebende Infrastruktur, was traditionelle Code-Audits nicht aufdecken würden.

Lesen Sie auch:

---