Der beliebte Open-Source-Texteditor Notepad++ hat einen ausgeklügelten Supply-Chain-Angriff offengelegt, der es mutmaßlich vom chinesischen Staat unterstützten Hackern ermöglichte, seinen Update-Mechanismus zu kapern und zwischen Juni und Dezember 2025 Malware an gezielte Nutzer zu verteilen. Die Enthüllung, die diese Woche in einem Sicherheitshinweis detailliert wurde, hat Schockwellen durch die Entwickler-Community gesendet, da Millionen auf den leichtgewichtigen Code-Editor für ihre täglichen Programmieraufgaben angewiesen sind.
Laut der Offenlegung kompromittierten die Angreifer die Infrastruktur des Hosting-Anbieters statt des Notepad++-Quellcodes selbst, was es ihnen ermöglichte, den für notepad-plus-plus.org bestimmten Update-Traffic abzufangen und umzuleiten. Der Hinweis stellte fest, dass Traffic von bestimmten gezielten Nutzern selektiv zu von Angreifern kontrollierten Servern umgeleitet wurde, die bösartige Update-Manifeste bereitstellten, was dazu führte, dass kompromittierte ausführbare Dateien anstelle legitimer Updates auf die Systeme der Opfer heruntergeladen wurden.
Der Sicherheitsforscher Kevin Beaumont berichtete als Erster von ungewöhnlichen Aktivitäten, die Notepad++-Nutzer betrafen, und stellte fest, dass die Angriffe gezielt auf Telekommunikations- und Finanzdienstleistungsunternehmen in Ostasien abzielten. Beaumont beobachtete, dass die Opfer Organisationen mit Interessen in Ostasien waren und dass die Aktivität sehr gezielt erschien, wobei Hands-on-Keyboard-Aufklärungsaktivitäten vor etwa zwei Monaten begannen. Mehrere unabhängige Sicherheitsforscher haben eingeschätzt, dass der Bedrohungsakteur wahrscheinlich eine vom chinesischen Staat unterstützte Gruppe ist, was die hochgradig selektive Zielauswahl während der Kampagne erklären würde.
Die Angriffs-Timeline zeigt, dass böswillige Akteure im Juni 2025 zunächst Zugang zum Shared-Hosting-Server erlangten. Obwohl der Server am 2. September planmäßige Wartung mit Kernel- und Firmware-Updates durchlief, die den direkten Serverzugang kappten, behielten die Angreifer gestohlene Zugangsdaten zu internen Diensten bis zum 2. Dezember, was ihnen ermöglichte, den Update-Traffic weiterhin zu kompromittierten Servern umzuleiten. Alle Abhilfe- und Sicherheitshärtungsmaßnahmen wurden vom Hosting-Anbieter bis zum 2. Dezember 2025 abgeschlossen.
Als Reaktion auf den Vorfall ist Notepad++ zu einem neuen Hosting-Anbieter mit deutlich stärkeren Sicherheitspraktiken migriert und hat Version 8.8.9 mit kritischen Sicherheitsverbesserungen veröffentlicht. Die WinGUp-Updater-Komponente überprüft nun sowohl das Zertifikat als auch die Signatur heruntergeladener Installer, und XML-Update-Manifeste werden digital mit XMLDSig signiert. Ab der kommenden Version 8.9.2 wird die Zertifikats- und Signaturüberprüfung verpflichtend sein. Nutzer werden dringend aufgefordert, sofort zu aktualisieren und alle zuvor installierten Notepad++-Stammzertifikate zu entfernen.
Kommentare