3. Februar 2026
Der sehr beliebte und verbreitete Texteditor Notepad++ wurde Opfer eines hoch-entwickelten Angriffs, wahrscheinlich aus China. Durch einen infizierten Update-Prozess wurde Malware auf die Zielrechner installiert.
Unsere Empfehlung: Notepad++ komplett deinstallieren, rebooten und von der Original-Webseite des Herstellers neu installieren!
Der Entwickler von Notepad++ hat bekannt gegeben, dass staatlich geförderte Angreifer den Update-Mechanismus des Programms gekapert haben, um den Update-Verkehr stattdessen auf bösartige Server umzuleiten.
„Der Angriff umfasste eine Kompromittierung auf Infrastruktur-Ebene, die es böswilligen Akteuren ermöglichte, den für notepad-plus-plus.org bestimmten Update-Verkehr abzufangen und umzuleiten“, erklärte Entwickler Don Ho. „Die Kompromittierung erfolgte auf Ebene des Hosting-Anbieters und nicht durch Schwachstellen im Code von Notepad++ selbst.“
Der genaue Mechanismus, durch den dies realisiert wurde, wird derzeit untersucht, fügte Ho hinzu.
Diese Entwicklung kommt etwas mehr als einen Monat, nachdem Notepad++ die Version 8.8.9 veröffentlicht hat, um ein Problem zu beheben, das dazu führte, dass der Datenverkehr von WinGUp, dem Notepad++-Updater, „gelegentlich“ auf bösartige Domains umgeleitet wurde, was zum Download von infizierten ausführbaren Dateien führte.
Das Problem lag insbesondere in der Art und Weise, wie der Updater die Integrität und Authentizität der heruntergeladenen Aktualisierungsdatei überprüfte, wodurch ein Angreifer, der in der Lage war, den Netzwerkverkehr zwischen dem Updater-Client und dem Aktualisierungsserver abzufangen, das Tool dazu bringen konnte, stattdessen eine andere Binärdatei herunterzuladen.
Es wird angenommen, dass diese Umleitung sehr gezielt erfolgte, wobei nur der Datenverkehr bestimmter Benutzer auf die betrügerischen Server umgeleitet wurde, um die schädlichen Komponenten abzurufen. Der Vorfall soll im Juni 2025 begonnen haben, mehr als sechs Monate bevor er bekannt wurde.
Der unabhängige Sicherheitsforscher Kevin Beaumont enthüllte, dass die Schwachstelle von Angreifern in China ausgenutzt wurde, um Netzwerke zu kapern und Ziele zum Herunterladen von Malware zu verleiten. Die Angriffe, die einem als Violet Typhoon (alias APT31) bekannten staatlichen Angreifer zugeschrieben werden, richteten sich gegen Telekommunikations- und Finanzdienstleistungsunternehmen in Ostasien.
Als Reaktion auf den Sicherheitsvorfall wurde die Notepad++-Website zu einem neuen Hosting-Anbieter mit „besonders strengen Sicherheitsvorkehrungen” migriert, und der Aktualisierungsprozess wurde durch zusätzliche Schutzmassnahmen verstärkt, um seine Integrität zu gewährleisten.
„Nach Angaben des ehemaligen Hosting-Anbieters war der Shared-Hosting-Server bis zum 2. September 2025 kompromittiert”, erklärte Ho. „Selbst nachdem sie den Zugriff auf den Server verloren hatten, behielten die Angreifer bis zum 2. Dezember 2025 die Zugangsdaten zu internen Diensten, wodurch sie weiterhin den Update-Datenverkehr von Notepad++ auf bösartige Server umleiten konnten.”
Quelle: The Hacker News
