Staatliche Hacker kompromittieren Update-Prozess von Notepad++
Mutmasslich chinesische Staats-Hacker haben die Infrastruktur des Texteditors Notepad++ infiltriert. Der Angriff nutzte keine Schwachstelle in der Software selbst, sondern setzte direkt bei der Infrastruktur des Webhosters an, um den Update-Verkehr gezielt umzuleiten.
Der Open-Source-Texteditor Notepad++ meldet eine raffinierte Attacke. Laut einer Analyse externer Experten gelang es staatlichen Hackern, den Update-Verkehr der Website notepad-plus-plus.org abzufangen und selektiv umzuleiten. Die Kompromittierung fand auf Ebene des Shared-Hosting-Anbieters statt.
Dort manipulierten die Angreifer gezielt die Update-Dateien - sogenannte Manifests -, um ausgewählte User auf ihre eigenen Server umzuleiten. Von dort hätten sie manipulierte Updates ausliefern können. Ob User die kompromittierten Dateien tatsächlich installierten, bleibt laut den Entwicklern unklar.
Gemäss einer Mitteilung von Notepad++ gehen unabhängige Sicherheitsforschende davon aus, dass hinter dem Angriff eine von China unterstützte Gruppe steckt. Die hohe Selektivität der Ziele und die Vorgehensweise während der Kampagne deuten laut den Experten auf staatliche Akteure hin.
Der mittlerweile ehemalige Hoster erklärte in einer Stellungnahme, sein Server sei bis zum 2. September 2025 kompromittiert gewesen. Eine Wartung habe den Angreifern damals zwar den direkten Server-Zugriff entzogen, sie behielten jedoch Zugangsdaten zu internen Diensten. Damit konnten sie bis zum 2. Dezember 2025 weiterhin den Update-Verkehr manipulieren.
Als Reaktion hat das Notepad++-Team die Website zu einem neuen Hoster mit strengeren Sicherheitspraktiken umgezogen. Zusätzlich überarbeiteten die Entwickler den Update-Mechanismus "WinGup": Er überprüft nun zusätzlich die digitalen Zertifikate und Signaturen der Update-Dateien, um solche Angriffe künftig zu verhindern.
Übrigens: Chinesische Cyberangriffe werden immer aggressiver und intelligenter, wie aus dem jüngsten Crowdstrike Global Threat Report hervorgeht - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Cybergauner heben Ricardo-Betrügereien auf die nächste Stufe
Spionage-Tool "Darksword" gefährdet Millionen iPhones
Massgeschneiderte KI-Anwendungen fordern die Cyberabwehr heraus
Betrüger nutzen Not Stellensuchender aus
Vishing wird für Cyberkriminelle immer attraktiver
Infoguard steigert Umsatz und baut Deutschlandgeschäft aus
INP Schweiz meldet Cyberangriff
KI-Agent von Meta löst kritischen Sicherheitsvorfall aus
Wenn Natur keine Gnade kennt
