Notepad++ wurde von staatlich geförderten Hackern im Rahmen einer ausgeklügelten und äußerst selektiven Cyberspionagekampagne gekapert, die mehrere Monate lang die Update-Infrastruktur der Software missbrauchte, Dies geht aus einer detaillierten Sicherheitsoffenlegung hervor, die vom Entwickler des Projekts veröffentlicht wurde. Der Angriff, die über weite Strecken weitgehend unentdeckt blieb 2025, stellt eine seltene und schwerwiegende Kompromittierung der Lieferkette dar, die eine der am weitesten verbreiteten Open-Source-Anwendungen unter Windows betrifft.
Der Vorgang beruhte nicht auf Schwachstellen im Notepad++-Quellcode selbst. Stattdessen, Angreifer erlangten die Kontrolle über die Hosting-Infrastruktur, die für die Bereitstellung von Update-Metadaten verantwortlich ist, Dies ermöglicht es ihnen, Aktualisierungsanfragen von bestimmten Zielen stillschweigend an ihre eigenen, vom Angreifer kontrollierten Server umzuleiten.
Wie Notepad++ von staatlich geförderten Hackern gekapert wurde?
Notepad++ wurde von staatlich geförderten Hackern durch eine Kompromittierung auf Infrastrukturebene bei seinem ehemaligen Shared-Hosting-Anbieter gekapert, und nicht durch Fehler in der Codebasis der Anwendung. Sicherheitsexperten bestätigten, dass die Angreifer den Server infiltriert haben, auf dem sich der Notepad++-Update-Endpunkt befindet, Dadurch können sie den Update-Verkehr während der Übertragung abfangen und manipulieren.
Die böswilligen Akteure leiteten selektiv Update-Anfragen ausgewählter Benutzer um, Zurückgeben manipulierter Update-Manifeste, die auf bösartige Payloads hinweisen. Diese enge Ausrichtung lässt eher auf nachrichtendienstliche Ziele als auf die Massenverbreitung von Malware schließen, Angleichung an Techniken, die üblicherweise bei Cyberoperationen von Nationalstaaten beobachtet werden.
Infrastrukturkompromiss hinter der Notepad++-Hijacker-Kampagne
Die Untersuchung ergab, dass der kompromittierte Server das Skript hostete, das für die Generierung von Update-Download-URLs für Notepad++ verantwortlich ist. Sobald der Zugriff erhalten wurde, Angreifer konnten unterhalb der Anwendungsschicht agieren, Dies macht es äußerst schwierig, den Einbruch mit herkömmlichen Endpunkt-Sicherheitskontrollen zu erkennen.
WordPress Web Hosting
Ab 3,99 USD/monatlich
Entscheidend, Die Ermittler fanden keine Hinweise darauf, dass offizielle Notepad++-Binärdateien oder die Build-Pipeline des Projekts direkt verändert wurden. Die Bedrohungsakteure nutzten das Vertrauen in den Update-Bereitstellungsmechanismus selbst aus, Eine Taktik, die bei modernen Angriffen auf die Lieferkette immer häufiger eingesetzt wird.
Zeitleiste des von staatlich geförderten Hackern entführten Notepad++-Vorfalls
Der bestätigten Zeitleiste zufolge begann der Angriff im Juni 2025, als sich die Angreifer zunächst unbefugten Zugriff auf die Hosting-Umgebung verschafften. Dieser Zugriff blieb bis September bestehen 2, 2025, als geplante Kernel- und Firmware-Updates den Einbruch vorübergehend unterbrachen.
Trotz Verlust des direkten Serverzugriffs, Die Angreifer behielten interne Dienstanmeldeinformationen, die es ihnen ermöglichten, den Update-Verkehr weiterhin aus der Ferne umzuleiten. Dieser sekundäre Zugangskanal blieb bis Dezember aktiv 2, 2025, als alle Anmeldeinformationen rotiert wurden, und die Infrastruktur war vollständig gesichert.
Sicherheitsexperten gehen davon aus, dass die böswilligen Aktivitäten Anfang November eingestellt wurden, Die endgültige Sperrung des Angreiferzugriffs gelang jedoch erst im Dezember. Basierend auf kombinierten Bewertungen, Das gesamte Kompromissfenster erstreckt sich über etwa sechs Monate.
Es gibt Hinweise darauf, dass der Angriff auf staatlich geförderte chinesische Hacker zurückzuführen ist
Mehrere unabhängige Sicherheitsforscher kamen zu dem Schluss, dass die Kampagne die Handschrift staatlich geförderter chinesischer Hacker trägt. Die Präzision des Targetings, die verlängerte Verweildauer, und das Fehlen von Monetarisierungssignalen deuten eher auf Spionageaktivitäten als auf Cyberkriminalität hin.
Weitere Analysen von Rapid7 führten entsprechende Aktivitäten auf die chinesische APT-Gruppe Lotus Blossom zurück, auch bekannt als Raspberry Taifun, Autofehler, und Frühlingsdrache. Berichten zufolge hat die Gruppe eine bisher undokumentierte benutzerdefinierte Hintertür namens Chrysalis eingesetzt, Entwickelt, um den dauerhaften Zugriff auf kompromittierte Systeme aufrechtzuerhalten.
Günstiger VPS -Server
Ab 2,99 USD/monatlich
Zwar gibt es keine definitiven forensischen Artefakte, die belegen, dass der Notepad++-Updater die Hintertür direkt bereitgestellt hat, Telemetrie bestätigte verdächtige Ausführungsketten im Zusammenhang mit notepad++.exe, GUP.exe, und ein anormaler update.exe-Prozess.
Warum staatlich geförderte Hacker den Notepad++-Update-Mechanismus ins Visier genommen haben?
Staatlich geförderte Hacker hatten es auf den Update-Mechanismus von Notepad++ abgesehen, da in älteren Versionen der Software Schwachstellen in der Update-Überprüfungskontrolle vorhanden waren. Obwohl Installateure unterzeichnet wurden, Frühere Implementierungen des WinGup-Updaters erzwangen keine strikte kryptografische Validierung der Update-Metadaten.
Durch Gefährdung der Update-Bereitstellungsinfrastruktur, Angreifer vermieden die Notwendigkeit, Code-Signatur-Schutzmaßnahmen zu umgehen. Stattdessen, Sie leiteten Clients auf vom Angreifer kontrollierte Server um, Den vertrauenswürdigen Update-Kanal effektiv zu einer Waffe machen, ohne die Anwendung selbst zu ändern.
Sicherheitskorrekturen, nachdem Notepad++ von staatlich geförderten Hackern gekapert wurde
Nachdem Notepad++ von staatlich geförderten Hackern über seine Update-Infrastruktur gekapert wurde, wurde dies öffentlich bekannt gegeben, Das Projekt implementierte eine Reihe wichtiger Sicherheitsverbesserungen, um ähnliche Angriffe auf die Lieferkette in Zukunft zu verhindern. Die folgenden Änderungen konzentrieren sich auf die Stärkung der Update-Überprüfung, Härtung der Hosting-Infrastruktur, und Beseitigung von Vertrauenslücken:
- Verbesserte Installationszertifikat- und Signaturüberprüfung in WinGup
Beginnend mit der Notepad++-Version 8.8.9, Der WinGup-Updater überprüft jetzt sowohl die digitale Signatur als auch das Zertifikat heruntergeladener Installationsprogramme, Sicherstellen, dass nur authentische und vertrauenswürdige Updates auf Benutzersystemen installiert werden können. - Kryptografische Signatur von Update-Metadaten mithilfe digitaler XML-Signaturen
Das vom Server zurückgegebene Update-XML ist jetzt kryptografisch signiert, Verhindert, dass Angreifer Aktualisierungsmanifeste manipulieren, selbst wenn sie teilweise Zugriff auf die Bereitstellungsinfrastruktur erhalten. - Obligatorische Durchsetzung der Verifizierung in kommenden Versionen
Die vollständige Durchsetzung der Zertifikats- und Signaturvalidierung soll in Notepad++ v8.9.2 in Kraft treten, die voraussichtlich im kommenden Monat veröffentlicht wird, Dadurch wird das Risiko eines Update-Hijackings weiter verringert. - Migration zu einem neuen Hosting-Anbieter mit strengeren Sicherheitskontrollen
Alle Notepad++-Dienste wurden auf eine neue Hosting-Umgebung mit verbesserter Überwachung migriert, strengere Zugriffsverwaltungsrichtlinien, und verstärkte Abwehrmaßnahmen gegen Kompromisse auf Infrastrukturebene.
Windows VPS -Hosting
Remote Access & Full Admin
Reaktions- und Abhilfemaßnahmen des Hosting-Anbieters
Der ehemalige Hosting-Anbieter bestätigte, dass der betroffene Shared-Hosting-Server bis Anfang September kompromittiert war 2025 und dass interne Service-Anmeldeinformationen bis Dezember offen blieben. Nach der Erkennung, der Anbieter:
- Alle gehosteten Clients wurden auf neue Server migriert
- Ausgenutzte Schwachstellen behoben
- Alle potenziell gefährdeten Anmeldeinformationen wurden rotiert
- Führte eine vollständige Protokollüberprüfung aller Hosting-Umgebungen durch
Der Anbieter meldete keine Hinweise darauf, dass andere gehostete Kunden ins Visier genommen wurden, Dies untermauert die Schlussfolgerung, dass die Angreifer gezielt darauf abzielten, den Update-Verkehr von Notepad++ zu kompromittieren.
Was Notepad++-Benutzer jetzt tun sollten
Nach der Bestätigung, dass Notepad++ von staatlich geförderten Hackern über seine Update-Infrastruktur gekapert wurde, Benutzern wird empfohlen, eine Reihe von Vorsichtsmaßnahmen zu ergreifen, um mögliche Restrisiken zu reduzieren. Allerdings haben die Ermittler keine universellen Indikatoren für eine Kompromittierung identifiziert, Systeme, auf denen während des Offenlegungsfensters betroffene Versionen ausgeführt wurden, erfordern möglicherweise dennoch eine genauere Prüfung, insbesondere in Unternehmens- oder sensiblen Umgebungen.
Manuell auf die Notepad++-Version aktualisieren 8.9.1 oder später
Benutzer sollten die Notepad++-Version herunterladen und installieren 8.9.1 oder neuer direkt von der offiziellen Website, um sicherzustellen, dass erweiterte Update-Überprüfungsmechanismen vorhanden sind. Diese Version enthält wichtige Sicherheitsverbesserungen für den WinGup-Updater, Reduzierung des Risikos einer böswilligen Update-Umleitung und Stärkung des Vertrauens in zukünftige Update-Lieferungen.
Überprüfen Sie System- und Anwendungsprotokolle auf ungewöhnliches Verhalten
Benutzern und Administratoren wird empfohlen, die Systemprotokolle auf ungewöhnliche Prozessausführungen zu untersuchen, unerwartete Netzwerkverbindungen, oder unerklärliche Dateiänderungen im Zeitraum Juni–Dezember 2025 Zeitrahmen. Es wurden jedoch keine endgültigen Anzeichen für einen Kompromiss veröffentlicht, Die Protokollüberprüfung kann dabei helfen, verdächtige Aktivitäten zu identifizieren, die möglicherweise eine weitere Untersuchung erfordern.
Rotieren Sie Anmeldeinformationen auf Systemen, die auf automatisierten Updates basieren
Für Umgebungen, in denen Notepad++-Updates automatisch verwaltet wurden, Als Vorsichtsmaßnahme wird eine Rotation der Anmeldeinformationen empfohlen. SSH aktualisieren, Ftp, Datenbank, oder Anmeldeinformationen für Dienstkonten tragen dazu bei, das Risiko eines verzögerten Zugriffs zu verringern, falls Anmeldeinformationen während der Infrastrukturkompromittierung offengelegt wurden.
Stellen Sie sicher, dass Update-Mechanismen künftig eine strikte Überprüfung erzwingen
Administratoren sollten überprüfen, ob Update-Workflows die Zertifikat- und Signaturvalidierung erzwingen, insbesondere in verwalteten oder Unternehmensbereitstellungen. Wenn Sie sich auf kryptografisch verifizierte Updates verlassen, verringert sich das Risiko künftiger Angriffe auf die Lieferkette und entspricht modernen Best Practices für die Softwaresicherheit.
Eine umfassendere Warnung zur Sicherheit von Open-Source-Software
Der Notepad++-Hijacking verdeutlicht einen wachsenden Trend, bei dem staatlich geförderte Hacker Open-Source-Projekte zunehmend über Infrastruktur- und Lieferkettenschwächen und nicht über Anwendungsschwachstellen ins Visier nehmen. Da Open-Source-Tools weiterhin die Grundlage für Unternehmens- und Regierungsumgebungen bilden, Sie werden zu hochwertigen Spionagezielen.
Die Antwort des Notepad++-Projekts zeigt, wie Transparenz, schnelle Abhilfe, und Architekturverbesserungen können dazu beitragen, das Vertrauen nach einem schwerwiegenden Sicherheitsvorfall wiederherzustellen.