Einige Nutzer des beliebten Windows-Editor Notepad++ wurde Opfer von staatsnahen Hackern. Diesen war es gelungen, von Sommer 2025 den Update-Mechanismus zu kompromittieren und Malware auszuliefern.
Erste Meldung im Dezember 2025
Notepad++ ist ein kostenloser Text-Editor für Windows, der eine Vielzahl von Programmiersprachen unterstützt. Zum 9. Dezember 2025 meldete der Entwickler in einem Beitrag zur neuen Version 8.8.9, dass der Auto-Updater der Software vor der Version 8.8.9 missbraucht werden konnte, um Malware zu verteilen (was wohl auch passiert war) – ich hatte im Beitrag Notepad++: Auto-Update konnte Malware installieren; Fix in v8.8.9 kurz berichtet). Der Entwickler Don Ho hatte das Ganze am 9. Dezember 2025 im Beitrag Notepad++ v8.8.9 release: Vulnerability-fix offen gelegt.
Kevin Beaumont hatte zum 2. Dezember 2025 in diesem Beitrag auf Double Pulsar anklingen lassen, dass er seit 3 Jahren immer wieder gehört habe, dass Leute, die Notepad++ verwenden, infiziert worden seien. Der initiale Zugriff erfolgte über Notepad++, der Zugriff auf die Tastatur bekam.
Mir ist dieser Thread vom 10. Juli 2025 auf GitHub untergekommen, in dem sich Leute beklagen, dass der Notepad++ 8.8.3 durch Microsoft Defender Attack Surface Reduction (ASR) blockiert werde.
Laut Entwickler hatten einige Sicherheitsexperten 2025 Vorfälle von Traffic-Hijacking gemeldet, von denen Notepad++ betroffen war. Den Untersuchungen zufolge wurde der Datenverkehr von WinGUp (dem Notepad++-Updater) gelegentlich auf bösartige Server umgeleitet, was zum Download kompromittierter ausführbarer Dateien führte.
Bei der Überprüfung dieser Berichte wurde eine Schwachstelle in der Art und Weise, wie der Updater die Integrität und Authentizität der heruntergeladenen Update-Datei überprüft, gefunden. Falls ein Angreifer in der Lage ist, den Netzwerkverkehr zwischen dem Updater-Client und der Notepad++-Update-Infrastruktur abzufangen, konnte er diese Schwachstelle ausnutzen, um den Updater dazu zu veranlassen, eine unerwünschte Binärdatei (anstelle der legitimen Notepad++-Update-Binärdatei) herunterzuladen und auszuführen.
Ergänzende Informationen zum 2. Feb. 2026
Ein Nutzer wies mich bereits gestern per Mail auf die neue Erklärung vom 2. Februar 2026 im Beitrag Notepad++ Hijacked by State-Sponsored Hackers hin. In diesem Beitrag erklärt der Entwickler, dass nach der Veröffentlichung der Sicherheitslücke in der Ankündigung der Version 8.8.9 des Notepad++ externe Experten zur Untersuchung hinzugezogen wurden. Dazu gehörte auch der (mittlerweile ehemalige) Shared-Hosting-Anbieters.
Die Analyse ergab, dass sich Angreifer seit Juni 2025 in die Infrastruktur des Update-Prozesses unter notepad-plus-plus.org einklinken, den Trafffic (als Man-in-the-middle umleiten) und Malware mit Notepad++-Updates ausliefern konnten.
Angreifer wohl aus China
Der genaue technische Mechanismus werde noch untersucht. Es heißt, dass die Kompromittierung auf Ebene des Hosting-Anbieters und nicht durch Schwachstellen im Notepad++-Code selbst erfolgte. Der Datenverkehr bestimmter Zielbenutzer wurde selektiv auf vom Angreifer kontrollierte, bösartige Update-Manifeste umgeleitet.
Mehrere unabhängige Sicherheitsforscher seien zum Schluss gekommen, dass es sich bei dem Angreifer wahrscheinlich um eine von China staatlich geförderte Gruppe handelt. Das würde die während der Kampagne beobachtete hohe Selektivität der Angriffe erklären.
Hoster war kompromittiert
Der Artikel lässt verlauten, dass der ehemalige Hosting-Anbieters des Projekts angibt, dass der Shared-Hosting-Server bis zum 2. September 2025 kompromittiert war. Selbst als die Angreifer den Zugriff auf den Shared-Hosting-Server verloren hatten, behielten sie bis zum 2. Dezember 2025 die Zugangsdaten zu internen Diensten. Dadurch konnten sie weiterhin den Update-Datenverkehr von Notepad++ auf bösartige Server umleiten, heißt es.
Laut Mitteilung hatten es die Angreifer speziell auf die Notepad++-Domain abgesehen, um die unzureichenden Überprüfung des Update-Mechanismus älterer Versionen von Notepad++ auszunutzen. Alle Abhilfemaßnahmen und Sicherheitsverbesserungen wurden vom Entwickler bis zum 2. Dezember 2025 abgeschlossen, wodurch weitere Aktivitäten der Angreifer erfolgreich blockiert werden konnten. Aktuelle Versionen des Notepad++ haben eine Prüfung der Update-Dateien, wodurch ein solcher Fall nicht mehr vorkommen dürfte.
Die Zahl der Opfer dieser Angriffe ist wohl gering, da die Angreifer sehr selektiv vorgingen. Die Leute von Malwarebytes haben in diesem Tweet noch einige Gedanken geteilt und nennen auch den Hoster (ist aus Litauen, hostet aber auch in Deutschland).
Rapid7 hat in diesem Beitrag (via) eine Analyse der von den Angreifern ausgelieferten Chrysalis-Backdoor – traf wohl vor allem China – veröffentlicht. Es wird die chinesische Hackergruppe Lotus Blossom (aka Lotus Panda, Billbug) verantwortlich gemacht.
Auf GitHub gibt es diese Queries für Defender/Sentinel zur Kampagne. Auf Medium ist dieser Beitrag erschienen, der sich mit der Suche nach Kompromittierungen (Indicator of Compromise, IoC) befasst.
MVP: 2013 – 2016
"Es heißt, dass die Kompromittierung auf Ebene des Hosting-Anbieters und nicht durch Schwachstellen im Notepad++-Code selbst erfolgte"
"Alle Abhilfemaßnahmen und Sicherheitsverbesserungen wurden vom Entwickler bis zum 2. Dezember 2025 abgeschlossen, wodurch weitere Aktivitäten der Angreifer erfolgreich blockiert werden konnten. Aktuelle Versionen des Notepad++ haben eine Prüfung der Update-Dateien, wodurch ein solcher Fall nicht mehr vorkommen dürfte."
Widerspricht sich das nicht irgendwie? Folgefehler aus meiner Sicht…
Der Entwickler hat bis zu diesem Datum (nach meiner Lesart) sowohl die Integritätsprüfung der Updates in Notepadd++ als auch den Wechsel zu einem anderen Hoster abgeschlossen.
Dies ist klar, nur wäre vorher die Überprüfung der Update-Dateien im Quellcode des Notepad++ eingebaut gewesen, wäre es nicht zu diesem "Problem" gekommen, korrekt?
Korrekt.
Hallo zusammen,
was für mich nicht ersichtlich wird: Wie erkenne ich, dass ich oder Anwender betroffen sind und was ist in einen solchen Fall zu tun?
(Das Programm deinstallieren samt Löschung der Installations-/Programmordner kann ja nicht wirklich die Lösung sein)
viele Grüße
Ein Leser
Ja, das würde ich gerne auch wissen. Bin für alle Hinweise danbar.
Der wichtigste Schritt ist auf eine neuere Version upzudaten – am besten manuell (wenn man noch Version <8.8.9 hat), damit das nächste Update sicher ist.
Wenn man einer der seltenen Fälle ist der kompromittiert wurde, dann gibt es kaum Grenzen, was alles gewesen sein könnte. Es gibt ja genug Schadcode, der sich auch gezielt verstecken kann und selbst im (ich denke) UEFI oder sonst wo überlebt…
Wie findet man heraus ob man kompromittiert wurde? Keine Ahnung – es wird immer von Schlangenöl gesprochen, aber etwas besseres als Virenscannersuche, Malwarescanner (wie zB Malwarebytes) und anti Rootkit Scanner fällt mir auch nicht ein. Natürlich kann man eine Sicherheitsfirma beauftragen die Computer zu untersuchen, aber das kostet seinen Preis (und nur auf geringen Verdacht ist es die Frage ob man das machen möchte). Jedenfalls wäre ein Security Audit periodisch zu empfehlen, dass sowieso in manchen Branchen verpflichtend vorgeschrieben ist (DORA). Oder man beschäftigt sich mit Kali Linux und den dort verwendeten Tools, aber die Lernkurve ist ziemlich steil und lange und ich selbst würde auch wenn ich mich länger damit beschäftigen würde – nicht das Gefühl haben, damit alles sicher geprüft zu haben.
Schau dir die am Artikelende verlinkten Beiträge auf GitHub und Medium an. Speziell der Rapid7-Beitrag gibt einige Hinweise, wie man Kompromittierungen erkennen könnte. Ich gehe davon aus, dass normale Anwender in DACH eher nicht kompromittiert wurden. Und wenn, hätte man sich im Dezember 2025 pronto drum kümmern müssen.
The Register schreibt, dass der Autor von Notepad++ angibt, dass folgende "Fremddateien" von den Angreifern ausgerollt wurden.
Rapid7 hat einen detailierten Blogeintrag mit IoCs veröffentlicht:
https:// http://www.rapid7.com/blog/post/tr-chrysalis-backdoor-dive-into-lotus-blossoms-toolkit/
Ein Triage Script zum testen der bekannten Hashes gibt es unter:
https://github.com/CreamyG31337/chrysalis-ioc-triage
(ich bin nicht der Urheber des Scripts, Scripte aus dem Netz immer prüfen bevor sie ausgeführt werden!)
wenn Du Dein System überprüfen möchtest, solltest Du es von Aussen machen. Einem Scanner auf einem womöglich kompromitiertem System kann man nicht trauen. Du brauchst folglich ein Boot-Medium mit einem Virenscanner darauf.
Spontan fallen mir da drei Produkte ein:
Avira Rescue System
c't Desinfec't
c't-Notfall-Windows
https://support.avira.com/hc/de/articles/360007776058-Erstellen-und-Verwenden-eines-Avira-Rescue-Systems
https://shop.heise.de/ct-desinfect-2025-26/pdf
https://www.heise.de/ratgeber/c-t-Notfall-Windows-2026-11072902.html
Es gibt auch noch Kaspersky Rescue Disk, aber da sind die Meinungen, nunja, werden wir nicht politisch, das hier ist ein IT-Blog
https://www.kaspersky.de/downloads/free-rescue-disk