Staatliche Hacker kompromittieren Update-Prozess von Notepad++
Mutmasslich chinesische Staats-Hacker haben die Infrastruktur des Texteditors Notepad++ infiltriert. Der Angriff nutzte keine Schwachstelle in der Software selbst, sondern setzte direkt bei der Infrastruktur des Webhosters an, um den Update-Verkehr gezielt umzuleiten.
Der Open-Source-Texteditor Notepad++ meldet eine raffinierte Attacke. Laut einer Analyse externer Experten gelang es staatlichen Hackern, den Update-Verkehr der Website notepad-plus-plus.org abzufangen und selektiv umzuleiten. Die Kompromittierung fand auf Ebene des Shared-Hosting-Anbieters statt.
Dort manipulierten die Angreifer gezielt die Update-Dateien - sogenannte Manifests -, um ausgewählte User auf ihre eigenen Server umzuleiten. Von dort hätten sie manipulierte Updates ausliefern können. Ob User die kompromittierten Dateien tatsächlich installierten, bleibt laut den Entwicklern unklar.
Gemäss einer Mitteilung von Notepad++ gehen unabhängige Sicherheitsforschende davon aus, dass hinter dem Angriff eine von China unterstützte Gruppe steckt. Die hohe Selektivität der Ziele und die Vorgehensweise während der Kampagne deuten laut den Experten auf staatliche Akteure hin.
Der mittlerweile ehemalige Hoster erklärte in einer Stellungnahme, sein Server sei bis zum 2. September 2025 kompromittiert gewesen. Eine Wartung habe den Angreifern damals zwar den direkten Server-Zugriff entzogen, sie behielten jedoch Zugangsdaten zu internen Diensten. Damit konnten sie bis zum 2. Dezember 2025 weiterhin den Update-Verkehr manipulieren.
Als Reaktion hat das Notepad++-Team die Website zu einem neuen Hoster mit strengeren Sicherheitspraktiken umgezogen. Zusätzlich überarbeiteten die Entwickler den Update-Mechanismus "WinGup": Er überprüft nun zusätzlich die digitalen Zertifikate und Signaturen der Update-Dateien, um solche Angriffe künftig zu verhindern.
Übrigens: Chinesische Cyberangriffe werden immer aggressiver und intelligenter, wie aus dem jüngsten Crowdstrike Global Threat Report hervorgeht - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Youtube-Studie von Webrepublic und GFK: Reichweite garantiert keine Wirkung
Eraneos steigert Umsatz durch Übernahmen
Cybergauner heben Ricardo-Betrügereien auf die nächste Stufe
Partnergeschäft treibt Umsatz von iWay an
Wenn wir KI zum Verfassen von E-Mails nutzen
KI in der Schweiz: Umsetzung jetzt entscheidend
Klarheit zeigt Wirkung: Wie SRF seine Organisation ausgerichtet hat und weiterdenkt
Einladung zum Webinar: KI - alle sprechen über das "Was" - wir sprechen über das "Wie"
Hybride Meetings im Jahr 2026: Es kommt nach wie vor auf die Technik an
