Thought Leadership
Der Entwickler des beliebten Texteditors Notepad++ hat einen schweren Sicherheitsvorfall öffentlich gemacht. Über ein halbes Jahr lang konnten Angreifer gezielt Update-Anfragen manipulieren und Nutzer auf kompromittierte Server umleiten.
Nach Einschätzung mehrerer unabhängiger Sicherheitsforscher steckt vermutlich eine staatlich unterstützte Hackergruppe aus China hinter dem Angriff. Die Attacke begann im Juni 2025 und konnte erst Anfang Dezember vollständig unterbunden werden.
Kompromittierung beim Hosting-Provider
Die Angreifer verschafften sich Zugang zum Server des Hosting-Providers, über den die Update-Funktion von Notepad++ bereitgestellt wurde. Dadurch konnten sie Update-Anfragen bestimmter Nutzer abfangen und auf eigene Infrastruktur umleiten. Dort erhielten die Betroffenen manipulierte Update-Pakete.
Möglich wurde dies durch Schwachstellen in der Update-Verifikation älterer Notepad++-Versionen. Das betroffene WinGUp-Tool prüfte Zertifikate und Signaturen nicht ausreichend.
Zwischenzeitlicher Zugriffsverlust ohne Folgen
Im September verloren die Angreifer kurzzeitig den Zugriff, als der Hosting-Provider Kernel und Firmware des Servers aktualisierte. Allerdings konnten sie sich mit zuvor erbeuteten Zugangsdaten erneut einnisten, da diese nicht gewechselt worden waren. Der Hosting-Provider bemerkte die Kompromittierung erst am 2. Dezember.
Der Sicherheitsforscher Kevin Beaumont hatte bereits vor dem offiziellen Statement auf das Problem hingewiesen. Ihm waren mindestens drei betroffene Organisationen bekannt, bei denen nach der Kompromittierung Aufklärungsaktivitäten im Netzwerk festgestellt wurden.
Gegenmaßnahmen und neue Sicherheitsfunktionen
Notepad++ veröffentlichte im Dezember Version 8.8.9, die die Schwachstellen im Update-Mechanismus behebt. WinGUp überprüft nun Installationszertifikate und Signaturen, zudem wird die Update-XML kryptografisch signiert. Mit Version 8.9.2, die in etwa einem Monat erscheinen soll, wird die Zertifikatsprüfung verpflichtend.
Inzwischen hat der Entwickler alle betroffenen Systeme zu einem neuen Hosting-Provider migriert und sämtliche Zugangsdaten ausgetauscht. Nutzer werden aufgerufen, Passwörter für SSH, FTP/SFTP und MySQL zu ändern sowie WordPress-Installationen zu überprüfen.
Verbindung zu bekannter APT-Gruppe
Forscher von Rapid7 ordnen den Vorfall der chinesischen Hackergruppe Lotus Blossom zu, die auch unter den Namen Raspberry Typhoon, Bilbug oder Spring Dragon bekannt ist. Die Angreifer setzten eine zuvor nicht dokumentierte Schadsoftware namens Chrysalis ein, die aufgrund ihrer Funktionsvielfalt als ausgereiftes Werkzeug für dauerhafte Systemkompromittierung gilt.
Notepad++ zählt mit mehreren Millionen Anwendern weltweit zu den verbreitetsten Texteditoren für Windows.
