Staatliche Hacker kompromittieren Update-Prozess von Notepad++

Der Open-Source-Texteditor Notepad++ meldet eine raffinierte Attacke. Laut einer Analyse externer Experten gelang es staatlichen Hackern, den Update-Verkehr der Website notepad-plus-plus.org abzufangen und selektiv umzuleiten. Die Kompromittierung fand auf Ebene des Shared-Hosting-Anbieters statt.

Dort manipulierten die Angreifer gezielt die Update-Dateien - sogenannte Manifests -, um ausgewählte User auf ihre eigenen Server umzuleiten. Von dort hätten sie manipulierte Updates ausliefern können. Ob User die kompromittierten Dateien tatsächlich installierten, bleibt laut den Entwicklern unklar.

Gemäss einer Mitteilung von Notepad++ gehen unabhängige Sicherheitsforschende davon aus, dass hinter dem Angriff eine von China unterstützte Gruppe steckt. Die hohe Selektivität der Ziele und die Vorgehensweise während der Kampagne deuten laut den Experten auf staatliche Akteure hin.

Der mittlerweile ehemalige Hoster erklärte in einer Stellungnahme, sein Server sei bis zum 2. September 2025 kompromittiert gewesen. Eine Wartung habe den Angreifern damals zwar den direkten Server-Zugriff entzogen, sie behielten jedoch Zugangsdaten zu internen Diensten. Damit konnten sie bis zum 2. Dezember 2025 weiterhin den Update-Verkehr manipulieren.

Als Reaktion hat das Notepad++-Team die Website zu einem neuen Hoster mit strengeren Sicherheitspraktiken umgezogen. Zusätzlich überarbeiteten die Entwickler den Update-Mechanismus "WinGup": Er überprüft nun zusätzlich die digitalen Zertifikate und Signaturen der Update-Dateien, um solche Angriffe künftig zu verhindern.

Übrigens: Chinesische Cyberangriffe werden immer aggressiver und intelligenter, wie aus dem jüngsten Crowdstrike Global Threat Report hervorgeht - mehr dazu lesen Sie hier. 

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.