Staatliche Hacker kompromittieren Update-Prozess von Notepad++
Mutmasslich chinesische Staats-Hacker haben die Infrastruktur des Texteditors Notepad++ infiltriert. Der Angriff nutzte keine Schwachstelle in der Software selbst, sondern setzte direkt bei der Infrastruktur des Webhosters an, um den Update-Verkehr gezielt umzuleiten.
Der Open-Source-Texteditor Notepad++ meldet eine raffinierte Attacke. Laut einer Analyse externer Experten gelang es staatlichen Hackern, den Update-Verkehr der Website notepad-plus-plus.org abzufangen und selektiv umzuleiten. Die Kompromittierung fand auf Ebene des Shared-Hosting-Anbieters statt.
Dort manipulierten die Angreifer gezielt die Update-Dateien - sogenannte Manifests -, um ausgewählte User auf ihre eigenen Server umzuleiten. Von dort hätten sie manipulierte Updates ausliefern können. Ob User die kompromittierten Dateien tatsächlich installierten, bleibt laut den Entwicklern unklar.
Gemäss einer Mitteilung von Notepad++ gehen unabhängige Sicherheitsforschende davon aus, dass hinter dem Angriff eine von China unterstützte Gruppe steckt. Die hohe Selektivität der Ziele und die Vorgehensweise während der Kampagne deuten laut den Experten auf staatliche Akteure hin.
Der mittlerweile ehemalige Hoster erklärte in einer Stellungnahme, sein Server sei bis zum 2. September 2025 kompromittiert gewesen. Eine Wartung habe den Angreifern damals zwar den direkten Server-Zugriff entzogen, sie behielten jedoch Zugangsdaten zu internen Diensten. Damit konnten sie bis zum 2. Dezember 2025 weiterhin den Update-Verkehr manipulieren.
Als Reaktion hat das Notepad++-Team die Website zu einem neuen Hoster mit strengeren Sicherheitspraktiken umgezogen. Zusätzlich überarbeiteten die Entwickler den Update-Mechanismus "WinGup": Er überprüft nun zusätzlich die digitalen Zertifikate und Signaturen der Update-Dateien, um solche Angriffe künftig zu verhindern.
Übrigens: Chinesische Cyberangriffe werden immer aggressiver und intelligenter, wie aus dem jüngsten Crowdstrike Global Threat Report hervorgeht - mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Appenzell Innerrhoden gibt sensible Daten an Medien weiter
Ist dies das echte Leben oder doch nur Fantasie?
Swisscom und Gritec partnern für cybersichere Industrieunternehmen
Anthropic veröffentlicht versehentlich Quellcode seines KI-Entwicklertools
Phisher zielen mit Fake-Bussen auf Kreditkartendaten ab
Wikipedia sperrt Artikel schreibenden KI-Agenten
Schwachstelle in ChatGPT ermöglicht Zugriff auf sensible Daten
Wie KMUs mit MDR ihre Cybersecurity stärken
Update: Bund definiert mobiles Sicherheitskommunikationssystem als Schlüsselprojekt
