Staatliche Angreifer kapern Notepad++
Über Monate hinweg haben unbekannte Angreifer den Update-Mechanismus von Notepad++ gezielt manipuliert. Der Angriff lief nicht über den Code des Editors, sondern über die kompromittierte Infrastruktur eines Hosting-Anbieters. Sicherheitsforscher sehen Hinweise auf einen staatlich unterstützten Akteur.
Ein schwerwiegender Sicherheitsvorfall hat die Open-Source-Community rund um Notepad++ erschüttert. Wie aus einem aktuellen Blogbeitrag hervorgeht, haben mutmaßlich staatlich unterstützte Angreifer über Monate hinweg den Update-Mechanismus des beliebten Windows-Editors manipuliert. Betroffen war nicht der Programmcode selbst, sondern die Infrastruktur des damaligen Hosting-Anbieters, über die Update-Anfragen gezielt umgeleitet wurden.
Kompromittierter Hoster
Nach Einschätzung externer Sicherheitsexperten kompromittierten die Angreifer die Shared-Hosting-Umgebung, auf der zentrale Update-Dienste von Notepad++ liefen. Dadurch konnten sie den Datenverkehr einzelner, gezielt ausgewählter Nutzer abfangen und auf Server unter eigener Kontrolle umleiten. Dort lagen manipulierte Update-Manifeste, über die potenziell schädliche Versionen verteilt wurden. Die Analyse deutet darauf hin, dass die Kampagne bereits im Juni 2025 begann und auffallend selektiv vorging.
Mehrere unabhängige Forscher ordnen den Angriff einem chinesischen staatlichen Akteur zu. Diese Einschätzung stützt sich vor allem auf das präzise Targeting und die lange unentdeckte Laufzeit. Laut Stellungnahme des früheren Hosting-Anbieters bestand ein direkter Serverzugriff der Angreifer bis zum 2. September 2025. Selbst danach verfügten sie jedoch noch über interne Zugangsdaten, mit denen sie bis Anfang Dezember 2025 weiterhin Update-Anfragen manipulieren konnten.
Nur Notepad++ im Visier
Der Hosting-Anbieter reagierte nach eigenen Angaben mit einer umfassenden Incident-Response. Dazu zählten Kernel- und Firmware-Updates, die Migration aller Kunden auf neue Server, das Schließen identifizierter Schwachstellen sowie die Rotation sämtlicher Zugangsdaten. Auffällig ist laut Log-Analyse, dass ausschließlich die Domain von Notepad++ ins Visier genommen wurde. Andere Kunden auf demselben Server blieben demnach unbehelligt, was den gezielten Charakter des Angriffs unterstreicht.
Als Konsequenz aus dem Vorfall wurde die Notepad++-Infrastruktur vollständig zu einem neuen Hosting-Provider mit strengeren Sicherheitsstandards verlagert. Parallel hat das Projekt den Update-Mechanismus deutlich nachgeschärft: Seit Version 8.8.9 prüft der Updater Zertifikat und Signatur der Installer, zusätzlich werden Update-XMLs kryptografisch signiert. Mit der kommenden Version 8.9.2 soll diese Prüfung verpflichtend werden.