Notepad++: Updater-Übernahme durch staatliche Akteure

Nachdem im Dezember ein Update für Notepad++ eine bereits zuvor attackierte Sicherheitslücke im Updatemechanismus geschlossen hat, liegen nun Untersuchungsergebnisse zu den Vorfällen vor. Demnach stecken wohl staatliche Akteure hinter den Angriffen.

In einem Blog-Beitrag berichtet der Notepad++-Entwickler Don Ho über die Untersuchungsergebnisse. Demnach hat Ho gemeinsam mit externen IT-Experten und dem jetzt ehemaligen Hosting-Provider den Vorfall untersucht. „Der Analyse der Sicherheitsexperten zufolge umfasste die Attacke eine Kompromittierung auf Infrastruktur-Ebene, die den bösartigen Akteuren das Abfangen und Umleiten von Update-Traffic für Notepad++ ermöglichte“, erklärt Ho. „Der genaue technische Mechanismus ist Gegenstand weiterer Untersuchungen, wobei klar ist, dass die Kompromittierung auf Ebene des Hosting-Providers auftrat anstatt durch Schwachstellen im Notepad++-Code selbst“, erörtert er weiter. Dadurch wurde Traffic bestimmter und gezielt ausgewählter Nutzer selektiv auf von den Angreifern kontrollierten Servern umgeleitet, die bösartige Update-Manifeste ausgeliefert haben.

Notepad++: Zeitlicher Ablauf des Angriffs

Der Vorfall nahm seinen Anfang im Juno 2025. „Mehrere unabhängige IT-Sicherheitsforscher kommen zu dem Schluss, dass die bösartigen Akteure einer von China kontrollierten Gruppierung angehören. Das würde höchst selektive Auswahl der Ziele erklären, die bei der Kampagne zu beobachten war“, schreibt Ho weiter. Der IT-Sicherheitsexperte hat einen Notfallplan vorgeschlagen, den er zusammen mit dem Hosting-Provider verfolgt hat. Dieser hat dann eine eigene Stellungnahme zu dem Vorfall abgegeben.

Dem Provider zufolge war der Shared-Hosting-Server bis zum 2. September 2025 kompromittiert. An dem Tag hat der Provider die Maschine gewartet und in diesem Zuge Firmware und Kernel aktualisiert, im Anschluss daran konnten keine weiteren Angriffsmuster mehr festgestellt werden. „Obwohl die bösartigen Akteure den Zugriff auf den Server am 2. September 2025 verloren haben, hatten sie Zugangsdaten der internen Dienste auf dem Server, bis zum 2. Dezember 2025. Die hätten ihnen die Umleitung von Traffic zu ‚ auf ihre eigenen Server ermöglichen und die Auslieferung einer Update-Download-URL mit kompromittierten Updates ermöglichen können“, führt der Hosting-Provider aus. Die Angreifer haben den Logs zufolge gezielt nach Notepad++ gesucht und nach keinen anderen Projekten. Am 2. Dezember konnten die Systeme etwa durch Schließen von Schwachstellen und Passwortwechsel gesichert werden.

Zwar scheinen die Angriffe laut den Untersuchungsergebnissen des IT-Sicherheitsexperten am 10. November 2025 aufgehört zu haben, jedoch schätzt Dan Ho, dass bis zum 2. Dezember weitere Attacken zumindest möglich waren. Er entschuldigt bei allen Betroffenen. Um dieses gewichtige Sicherheitsproblem anzugehen, hat Ho die Notepad++-Webseite zu einem neuen Hosting-Provider umgezogen, der signifikant stärkere Sicherheitspraxis umsetzt. Innerhalb von Notepad++ hat er den WinGup-Updater in Version 8.8.9 erweitert, sodass er Zertifikate und Signaturen des heruntergeladenen Installers prüft. Auch das von der Update-URL zurückgelieferte XML ist nun signiert. Deren Prüfung forciert Notepad++ ab der kommenden Version 8.9.2, die im kommenden Monat erwartet wird. „Mit diesen Änderungen und Verstärkungen glaube ich, dass die Situation vollständig gelöst ist. Ich kreuze die Finger“, schließt Ho die Analyse.

Im vergangenen Dezember wurde bekannt, dass der Notepad++-Updater Malware auf einigen PCs installiert hatte. Die Aufräumarbeiten dauerten etwas an. Ende Dezember hat Dan Ho dann etwa Reste der zuvor genutzten Self-Signed-Zertifikate entrümpelt.

(dmk)