Notepad++ gehackt: Ausgewählte Nutzer erhielten gezielt Fake-Updates

Im Dezember 2025 hatte Don Ho, Entwickler des bekannten Texteditor Notepad++, bekanntgegeben, dass es potenziell möglich gewesen war, über die Update-Infrastruktur des Tools fremde Daten einzuschleusen. Notepad++ 8.8.9 ging dagegen vor. Jetzt steht fest: Die Lücke wurde ausgenutzt, mutmaßlich von Hackern aus China.

Einbruch beim Hosting-Provider

Ende 2025 erklärte Don Ho, die Schwachstelle hätte nicht direkt in Notepad++ gelegen, sondern den von der Anwendung genutzten Updater WinGUp betroffen. Anwender sollten das Update auf Version 8.8.9 daher manuell und nicht über den Updater installieren.

In einem neuen Blog-Post heißt es nun allerdings, der eigentliche Angriff habe auf der Ebene des Providers, auf dem die Update-Infrastruktur liegt, stattgefunden. Ältere Varianten von Notepad++ respektive des Updaters WinGUp hätten dann lediglich nichts gegen das Ausspielen von „Fake-Updates“ unternommen. Beide Programmbestandteile wurden inzwischen entsprechend angepasst.

Die Schwachstelle wurde aktiv ausgenutzt

Laut Don Ho waren die Angreifer zwischen Juni 2025 und Dezember 2025 auf den Update-Servern aktiv, inzwischen ist der Hoster gewechselt worden.

Laut einer Analyse von Rapid7 soll die APT-Gruppe Lotus Blossom dahinter stecken. APT steht für Advanced Persistent Threats und beschreibt Angreifergruppen, deren Motivation der Aufbau einer langfristigen, strategischen Bedrohungslage ist. Lotus Blossom soll dabei vorrangig in Südostasien aktiv sein und gezielt Nutzer ausgewählt haben, denen statt eines Updates Schadcode ausgespielt wurde. Die breite Masse der Notepad++-Nutzer soll daher gar nicht direkt betroffen gewesen sein.

Cyberangriffe, die nicht finanziell motiviert sind, sondern strategische Ziele verfolgen, sind in der Regel keine isolierten Einzelereignisse. Stattdessen stehen langfristig operierende und hartnäckige Angreifergruppen dahinter, die bestimmte Angriffsziele immer wieder angreifen. Die Angreifergruppen prägen so die Bedrohungslage. Da die Angreifergruppen mindestens temporär bestimmte strategische Ziele verfolgen, wird die Bedrohungslage zu einem gewissen Teil besser erklärbar, als wenn es sich um rein opportunistische Zufallsereignisse handeln würde.

Das BSI über APT-Gruppen

Die von der Gruppe ausgenutzte Sicherheitslücke führt Rapid7 unter der Bezeichnung „Chrysalis“ und beschreibt sie in einem aktuellen Beitrag mit direktem Bezug zum Angriff bei Notepad++ ausführlich.

Jetzt manuell updaten!

Nutzer von Notepad++ sind weiterhin dazu angeraten, eine aktuelle Version manuell und nicht über den integrierten Updater zu installieren, solange die Version älter als 8.8.9 ist, oder 8.8.9 zuvor nicht manuell installiert wurde.

Vielen Dank an die zahlreichen Tippgeber zu dieser News!