![\"Notepad++\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/02\/image-3.png\")
Einige Nutzer des beliebten Windows-Editor Notepad++ wurde Opfer von staatsnahen Hackern. Diesen war es gelungen, von Sommer 2025 den Update-Mechanismus zu kompromittieren und Malware auszuliefern.<\/p>\nEinige Nutzer des beliebten Windows-Editor Notepad++ wurde Opfer von staatsnahen Hackern. Diesen war es gelungen, von Sommer 2025 den Update-Mechanismus zu kompromittieren und Malware auszuliefern.<\/p>\n
<\/p>\n
Kevin Beaumont hatte zum 2. Dezember 2025 in diesem Beitrag<\/a> auf Double Pulsar anklingen lassen, dass er seit 3 Jahren immer wieder geh\u00f6rt habe, dass Leute, die Notepad++ verwenden, infiziert worden seien. Der initiale Zugriff erfolgte \u00fcber Notepad++, der Zugriff auf die Tastatur bekam.<\/p>\n Mir ist dieser Thread<\/a> vom 10. Juli 2025 auf GitHub untergekommen, in dem sich Leute beklagen, dass der Notepad++ 8.8.3 durch Microsoft Defender Attack Surface Reduction (ASR) blockiert werde.<\/p><\/blockquote>\n Laut Entwickler hatten einige Sicherheitsexperten 2025 Vorf\u00e4lle von Traffic-Hijacking gemeldet, von denen Notepad++ betroffen war. Den Untersuchungen zufolge wurde der Datenverkehr von WinGUp (dem Notepad++-Updater) gelegentlich auf b\u00f6sartige Server umgeleitet, was zum Download kompromittierter ausf\u00fchrbarer Dateien f\u00fchrte.<\/p>\n Bei der \u00dcberpr\u00fcfung dieser Berichte wurde eine Schwachstelle in der Art und Weise, wie der Updater die Integrit\u00e4t und Authentizit\u00e4t der heruntergeladenen Update-Datei \u00fcberpr\u00fcft, gefunden. Falls ein Angreifer in der Lage ist, den Netzwerkverkehr zwischen dem Updater-Client und der Notepad++-Update-Infrastruktur abzufangen, konnte er diese Schwachstelle ausnutzen, um den Updater dazu zu veranlassen, eine unerw\u00fcnschte Bin\u00e4rdatei (anstelle der legitimen Notepad++-Update-Bin\u00e4rdatei) herunterzuladen und auszuf\u00fchren.<\/p>\n Ein Nutzer wies mich bereits gestern per Mail auf die neue Erkl\u00e4rung vom 2. Februar 2026 im Beitrag\u00a0Notepad++ Hijacked by State-Sponsored Hackers<\/a> hin. In diesem Beitrag erkl\u00e4rt der Entwickler, dass nach der\u00a0Ver\u00f6ffentlichung der Sicherheitsl\u00fccke in der Ank\u00fcndigung der Version 8.8.9<\/a> des Notepad++ externe Experten zur Untersuchung hinzugezogen wurden. Dazu geh\u00f6rte auch der (mittlerweile ehemalige) Shared-Hosting-Anbieters.<\/p>\n Die Analyse ergab, dass sich Angreifer seit Juni 2025 in die Infrastruktur des Update-Prozesses unter notepad-plus-plus.org einklinken, den Trafffic (als Man-in-the-middle umleiten) und Malware mit Notepad++-Updates ausliefern konnten.<\/p>\n Der genaue technische Mechanismus werde noch untersucht. Es hei\u00dft, dass die Kompromittierung auf Ebene des Hosting-Anbieters und nicht durch Schwachstellen im Notepad++-Code selbst erfolgte. Der Datenverkehr bestimmter Zielbenutzer wurde selektiv auf vom Angreifer kontrollierte, b\u00f6sartige Update-Manifeste umgeleitet.<\/p>\n Mehrere unabh\u00e4ngige Sicherheitsforscher seien zum Schluss gekommen, dass es sich bei dem Angreifer wahrscheinlich um eine von China staatlich gef\u00f6rderte Gruppe handelt. Das w\u00fcrde die w\u00e4hrend der Kampagne beobachtete hohe Selektivit\u00e4t der Angriffe erkl\u00e4ren.<\/p>\n Der Artikel l\u00e4sst verlauten, dass der ehemalige Hosting-Anbieters des Projekts angibt, dass der Shared-Hosting-Server bis zum 2. September 2025 kompromittiert war. Selbst\u00a0 als die Angreifer den Zugriff auf den Shared-Hosting-Server verloren hatten, behielten sie bis zum 2. Dezember 2025 die Zugangsdaten zu internen Diensten. Dadurch konnten sie weiterhin den Update-Datenverkehr von Notepad++ auf b\u00f6sartige Server umleiten, hei\u00dft es.<\/p>\n Laut Mitteilung hatten es die Angreifer speziell auf die Notepad++-Domain abgesehen, um die unzureichenden \u00dcberpr\u00fcfung des Update-Mechanismus \u00e4lterer Versionen von Notepad++ auszunutzen. Alle Abhilfema\u00dfnahmen und Sicherheitsverbesserungen wurden vom Entwickler bis zum 2. Dezember 2025 abgeschlossen, wodurch weitere Aktivit\u00e4ten der Angreifer erfolgreich blockiert werden konnten. Aktuelle Versionen des Notepad++ haben eine Pr\u00fcfung der Update-Dateien, wodurch ein solcher Fall nicht mehr vorkommen d\u00fcrfte.<\/p>\n Die Zahl der Opfer dieser Angriffe ist wohl gering, da die Angreifer sehr selektiv vorgingen. Die Leute von Malwarebytes haben in diesem Tweet<\/a> noch einige Gedanken geteilt und nennen auch den Hoster (ist aus Litauen, hostet aber auch in Deutschland).<\/p>\n Rapid7 hat in diesem Beitrag<\/a> (via<\/a>) eine Analyse der von den Angreifern ausgelieferten Chrysalis-Backdoor – traf wohl vor allem China – ver\u00f6ffentlicht. Es wird die chinesische Hackergruppe Lotus Blossom (aka Lotus Panda, Billbug) verantwortlich gemacht.<\/p>\n Auf GitHub gibt es diese Queries<\/a> f\u00fcr Defender\/Sentinel zur Kampagne. Auf Medium ist dieser Beitrag<\/a> erschienen, der sich mit der Suche nach Kompromittierungen (Indicator of Compromise, IoC) befasst.<\/p>\n Auf X hat Florian Roth diesen Post<\/a> ver\u00f6ffentlicht:\u00a0Sein Team hat Erkennungsregeln f\u00fcr die Notepad++-\/Lotus Blossom-Aktivit\u00e4t ver\u00f6ffentlicht \u2013 sowohl konkrete Artefakte nach der Kompromittierung als auch allgemeinere gup.exe-Updater-Anomalien.<\/p>\n Sigma: github.com\/SigmaHQ\/sigma\/pull\/5854<\/a> YARA Rules f\u00fcr Chrysalis loader\/backdoor – related components<\/a>Notepad<\/em>++ ist ein kostenloser Text-Editor f\u00fcr Windows, der eine Vielzahl von Programmiersprachen unterst\u00fctzt.\u00a0Zum 9. Dezember 2025 meldete der Entwickler in einem Beitrag zur neuen Version 8.8.9, dass der Auto-Updater der Software vor der Version 8.8.9 missbraucht werden konnte, um Malware zu verteilen (was wohl auch passiert war) – ich hatte im Beitrag Notepad++: Auto-Update konnte Malware installieren; Fix in v8.8.9<\/a> kurz berichtet). Der\u00a0 Entwickler Don Ho hatte das Ganze am 9. Dezember 2025 im Beitrag Notepad++ v8.8.9 release: Vulnerability-fix<\/a> offen gelegt.<\/p>\n
Erg\u00e4nzende Informationen zum 2. Feb. 2026<\/h2>\n
![\"Notepad++\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/02\/Notepad.jpg\")
<\/a><\/p>\nAngreifer wohl aus China<\/h3>\n
Hoster war kompromittiert<\/h3>\n
\ngup.exe-Anomalien
\n\u2013 ungew\u00f6hnliche DNS
\n\u2013 ungew\u00f6hnliche Datei-Drops
\n\u2013 verd\u00e4chtige untergeordnete Prozesse)<\/p>\n
\n<\/span>IOCs<\/a> (filenames etc.)\u00a0<\/span><\/p>\n