|

Gratis website & Server Migratie

🔥 PrijzenLog inAanmeldenSteunResellerPartner
Kolonel Server
Beveiliging & Firewall

Notepad++ gekaapt door door de staat gesponsorde hackers tijdens langdurige aanvallen op de toeleveringsketen

Notepad++ Hijacked by State-Sponsored Hackers
Clara2026-02-02

Notepad++ Gekaapt door door de staat gesponsorde hackers in een geavanceerde en zeer selectieve cyberspionagecampagne die maandenlang misbruik maakte van de update-infrastructuur van de software, volgens een gedetailleerde veiligheidsinformatie gepubliceerd door de ontwikkelaar van het project. De aanval, die gedurende een groot deel van de tijd grotendeels onopgemerkt bleven 2025, vertegenwoordigt een zeldzaam en ernstig compromis in de toeleveringsketen dat een van de meest gebruikte open-sourceapplicaties op Windows treft.

De operatie was niet afhankelijk van kwetsbaarheden in de Notepad++-broncode zelf. In plaats van, aanvallers kregen controle over de hostinginfrastructuur die verantwoordelijk was voor het leveren van update-metagegevens, waardoor ze stilletjes updateverzoeken van specifieke doelen kunnen omleiden naar hun eigen door aanvallers bestuurde servers.

Hoe Notepad++ werd gekaapt door door de staat gesponsorde hackers?

Notepad++ werd gekaapt door door de staat gesponsorde hackers via een compromis op infrastructuurniveau bij de voormalige shared hostingprovider, in plaats van door fouten in de codebase van de applicatie. Beveiligingsexperts hebben bevestigd dat de aanvallers de server hebben geïnfiltreerd die het Notepad++ update-eindpunt host, waardoor ze het updateverkeer onderweg kunnen onderscheppen en manipuleren.

De kwaadwillende actoren hebben selectief updateverzoeken van gekozen gebruikers doorgestuurd, het retourneren van gemanipuleerde update-manifesten die naar kwaadaardige payloads wezen. Deze beperkte targeting duidt sterk op inlichtingengedreven doelstellingen in plaats van op massale verspreiding van malware, in lijn met technieken die vaak worden waargenomen bij cyberoperaties van natiestaten.

How Notepad++ Was Hijacked

Compromis van de infrastructuur achter de gekaapte Notepad++-campagne

Uit het onderzoek bleek dat de gecompromitteerde server het script hostte dat verantwoordelijk was voor het genereren van update-download-URL's voor Notepad++. Zodra toegang werd verkregen, aanvallers konden onder de applicatielaag opereren, waardoor de inbraak uiterst moeilijk te detecteren is met behulp van conventionele eindpuntbeveiligingscontroles.

Wordpress Hosting

WordPress -webhosting

Vanaf $ 3,99/maandelijks

Koop nu

Cruciaal, onderzoekers vonden geen bewijs dat officiële Notepad++ binaire bestanden of de build-pijplijn van het project rechtstreeks waren gewijzigd. De dreigingsactoren maakten misbruik van het vertrouwen in het update-leveringsmechanisme zelf, een tactiek die steeds vaker voorkomt bij moderne supply chain-aanvallen.

Tijdlijn van het Notepad++ gekaapt door door de staat gesponsorde hackersincident

De bevestigde tijdlijn geeft aan dat de aanval in juni begon 2025, toen de aanvallers aanvankelijk ongeautoriseerde toegang kregen tot de hostingomgeving. Die toegang bleef bestaan ​​tot september 2, 2025, toen geplande kernel- en firmware-updates de inbraak tijdelijk verstoorden.

Ondanks het verlies van directe servertoegang, de aanvallers behielden interne servicereferenties waarmee ze updateverkeer op afstand konden blijven omleiden. Dit secundaire toegangskanaal bleef actief tot december 2, 2025, toen alle inloggegevens werden gerouleerd, en de infrastructuur was volledig beveiligd.

Beveiligingsexperts denken dat de kwaadaardige activiteiten waarschijnlijk begin november zijn gestopt, maar de definitieve beëindiging van de toegang voor aanvallers werd pas in december bereikt. Gebaseerd op gecombineerde beoordelingen, de totale compromisperiode beslaat ongeveer zes maanden.

Er zijn aanwijzingen dat de aanval verband houdt met door de Chinese staat gesponsorde hackers

Meerdere onafhankelijke beveiligingsonderzoekers concludeerden dat de campagne de kenmerken vertoont van door de Chinese staat gesponsorde hackers. De precisie van het richten, de verlengde verblijftijd, en de afwezigheid van signalen voor het genereren van inkomsten komt eerder overeen met op spionage gerichte operaties dan met cybercriminaliteit.

Verdere analyse door Rapid7 schreef gerelateerde activiteiten toe aan de Chinese APT-groep Lotus Blossom, ook bekend als Frambozentyfoon, Auto bug, en Lentedraak. De groep zou naar verluidt een aangepaste achterdeur zonder papieren hebben ingezet, genaamd Chrysalis, ontworpen om permanente toegang tot gecompromitteerde systemen te behouden.

Cheap VPS

Goedkope VPS -server

Vanaf $ 2,99/maandelijks

Koop nu

Hoewel er geen definitieve forensische artefacten zijn die bewijzen dat de Notepad++-updater rechtstreeks de achterdeur heeft opgeleverd, telemetrie bevestigde verdachte uitvoeringsketens waarbij notepad++.exe betrokken was, GUP.exe, en een afwijkend update.exe-proces.

Chinese State-Sponsored Hackers

Waarom door de staat gesponsorde hackers zich richtten op het Notepad++-updatemechanisme?

Door de staat gesponsorde hackers richtten zich op het updatemechanisme van Notepad++ vanwege verouderde zwakke punten in de verificatiecontroles voor updates die aanwezig waren in oudere versies van de software. Hoewel installateurs waren ondertekend, Bij eerdere implementaties van de WinGup-updater werd de cryptografische validatie van update-metagegevens niet strikt afgedwongen.

Door de infrastructuur voor het leveren van updates in gevaar te brengen, aanvallers vermeden de noodzaak om de beveiliging van code-ondertekening te omzeilen. In plaats van, ze stuurden clients om naar door aanvallers gecontroleerde servers, het vertrouwde updatekanaal effectief te bewapenen zonder de applicatie zelf te wijzigen.

Beveiligingsoplossingen nadat Notepad++ werd gekaapt door door de staat gesponsorde hackers

Nadat Notepad++ werd gekaapt door door de staat gesponsorde hackers via de update-infrastructuur, werd het openbaar gemaakt, Het project implementeerde een reeks cruciale beveiligingsverbeteringen om soortgelijke aanvallen op de toeleveringsketen in de toekomst te voorkomen. De volgende wijzigingen zijn gericht op het versterken van updateverificatie, verharding van de hostinginfrastructuur, en het elimineren van vertrouwenskloven:

  1. Verbeterd installatiecertificaat en handtekeningverificatie in WinGup
     Beginnend met Notepad++-versie 8.8.9, de WinGup-updater verifieert nu zowel de digitale handtekening als het certificaat van gedownloade installatieprogramma's, ervoor te zorgen dat alleen authentieke en vertrouwde updates op gebruikerssystemen kunnen worden geïnstalleerd.
  2. Cryptografische ondertekening van update-metagegevens met behulp van XML Digital Signatures
     De door de server geretourneerde update-XML is nu cryptografisch ondertekend, voorkomen dat aanvallers met updatemanifesten knoeien, zelfs als ze gedeeltelijke toegang krijgen tot de leveringsinfrastructuur.
  3. Verplichte handhaving van verificatie in komende releases
     Het is de bedoeling dat de volledige handhaving van certificaat- en handtekeningvalidatie van kracht wordt in Notepad++ v8.9.2, die naar verwachting in de komende maand zal verschijnen, waardoor het risico op het kapen van updates verder wordt verminderd.
  4. Migratie naar een nieuwe hostingprovider met strengere beveiligingsmaatregelen
     Alle Notepad++ diensten zijn gemigreerd naar een nieuwe hostingomgeving met verbeterde monitoring, een strenger beleid voor toegangsbeheer, en verbeterde defensieve maatregelen tegen compromissen op infrastructuurniveau.

Security Fixes After Notepad Was Hijacked

Windows VPS

Windows VPS-hosting

Remote Access & Full Admin

Koop nu

Reactie- en herstelmaatregelen van hostingproviders

De voormalige hostingprovider bevestigde dat de getroffen shared hosting-server tot begin september gecompromitteerd was 2025 en dat de inloggegevens van de interne dienst tot december openbaar bleven. Na detectie, de aanbieder:

  • Alle gehoste clients gemigreerd naar nieuwe servers
  • Patches voor uitgebuite kwetsbaarheden
  • Alle potentieel gecompromitteerde inloggegevens zijn gerouleerd
  • Een volledige logbeoordeling uitgevoerd voor alle hostingomgevingen

De provider meldde geen bewijs dat andere gehoste klanten het doelwit waren, Dit versterkt de conclusie dat de aanvallers specifiek probeerden het updateverkeer van Notepad++ in gevaar te brengen.

Wat Notepad++-gebruikers nu moeten doen

Na bevestiging dat Notepad++ werd gekaapt door door de staat gesponsorde hackers via de update-infrastructuur, gebruikers wordt geadviseerd een reeks voorzorgsmaatregelen te nemen om eventuele restrisico's te verminderen. Hoewel onderzoekers geen universele indicatoren voor compromissen hebben geïdentificeerd, systemen waarop de getroffen versies draaiden tijdens de blootstellingsperiode kunnen nog steeds nader onderzoek rechtvaardigen, vooral in bedrijfs- of gevoelige omgevingen.

Handmatig updaten naar Notepad++-versie 8.9.1 of later

Gebruikers moeten de Notepad++-versie downloaden en installeren 8.9.1 of nieuwer rechtstreeks vanaf de officiële website om ervoor te zorgen dat er verbeterde verificatiemechanismen voor updates aanwezig zijn. Deze versie bevat essentiële beveiligingsverbeteringen voor de WinGup-updater, het verminderen van het risico op kwaadwillige update-omleiding en het versterken van het vertrouwen in toekomstige update-leveringen.

update to Notepad++ version 8.9.1 or later

Controleer systeem- en applicatielogboeken op afwijkend gedrag

Gebruikers en beheerders worden aangemoedigd om systeemlogboeken te onderzoeken op ongebruikelijke procesuitvoering, onverwachte netwerkverbindingen, of onverklaarbare bestandswijzigingen tijdens de periode juni-december 2025 tijdsbestek. Hoewel er geen definitieve indicatoren voor een compromis zijn vrijgegeven, logbeoordeling kan helpen bij het identificeren van verdachte activiteiten die verder onderzoek kunnen rechtvaardigen.

Roteer inloggegevens op systemen die afhankelijk zijn van geautomatiseerde updates

Voor omgevingen waarin Notepad++-updates automatisch werden beheerd, Uit voorzorg wordt het rouleren van legitimatiebewijzen aanbevolen. SSH bijwerken, FTP, database, of serviceaccountreferenties helpen het risico van slepende toegang te beperken als inloggegevens openbaar zijn gemaakt tijdens het in gevaar brengen van de infrastructuur.

Zorg ervoor dat updatemechanismen in de toekomst strikte verificatie afdwingen

Beheerders moeten verifiëren dat updateworkflows de validatie van certificaten en handtekeningen afdwingen, met name bij beheerde of bedrijfsimplementaties. Het vertrouwen op cryptografisch geverifieerde updates vermindert de blootstelling aan toekomstige aanvallen op de toeleveringsketen en sluit aan bij de beste praktijken op het gebied van moderne softwarebeveiliging.

Een bredere waarschuwing voor open source-softwarebeveiliging

De kaping van Notepad++ benadrukt een groeiende trend waarbij door de staat gesponsorde hackers zich steeds meer richten op open-sourceprojecten via zwakke punten in de infrastructuur en de toeleveringsketen in plaats van via kwetsbaarheden in applicaties.. Terwijl open-sourcetools de bedrijfs- en overheidsomgevingen blijven ondersteunen, ze worden hoogwaardige spionagedoelen.

De reactie van het Notepad++-project laat zien hoe transparantie, snelle sanering, en architecturale verbeteringen kunnen helpen het vertrouwen te herstellen na een groot beveiligingsincident.

Gerelateerde berichten:

  1. hoe repareer je het witte scherm van de dood wordpress
  2. CVE-2025-66429: Kritieke escalatiekwetsbaarheid voor lokale bevoegdheden ontdekt in cPanel
  3. Hoe Clawdbot op een VPS te beveiligen met Cloudflare?
  4. Wat is TLS? Praktische gids voor het beveiligen van webgegevens
Deel dit bericht

Geef een reactie

Je e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *