Der beliebte Text-Editor Notepad++ hat sein Update-System mit einer neuen „Doppel-Schloss“-Sicherheitstechnik abgesichert. Die Version 8.9.2 reagiert auf einen schwerwiegenden Supply-Chain-Angriff durch mutmaßlich staatliche Hacker, der monatelang unentdeckt blieb. Für Millionen Nutzer, darunter viele Entwickler und Administratoren, ist die Aktualisierung jetzt essenziell.
Hintergrund: Gezielte Attacke auf Update-Infrastruktur
Die jetzt veröffentlichten Sicherheitsmaßnahmen sind die direkte Antwort auf einen Kompromittierungsversuch, der erst im Februar 2026 öffentlich wurde. Untersuchungen ergaben, dass Angreifer der mutmaßlich chinesischen Gruppe Lotus Blossom bereits ab Juni 2025 die Infrastruktur eines Drittanbieters für Notepad++ unterwandert hatten. Von dort leiteten sie gezielt Update-Anfragen bestimmter, hochwertiger Ziele um.
Statt des legitimen Updates erhielten diese Nutzer einen manipulierten Installer. Dieser schleuste eine als ‚Chrysalis‘ bekannte Backdoor ein, die den Angreifern dauerhaften Zugriff auf die Systeme verschaffte. Der Angriff lief bis zum 2. Dezember 2025 unbemerkt.
So funktioniert das neue „Doppel-Schloss“-System
Das Update 8.9.2 führt ein robustes, zweistufiges Verifikationssystem ein, das Man-in-the-Middle-Angriffe verhindern soll. Die erste Stufe, bereits in Version 8.8.9 eingeführt, prüft die kryptografische Signatur des heruntergeladenen Installers.
Die neue, zweite Sicherheitsebene validiert nun auch die digitale Signatur der XML-Datei, die dem Updater mitteilt, wo die neue Version zu finden ist. Damit wird die Authentizität der Update-Anweisungen geprüft, bevor überhaupt etwas heruntergeladen wird. Diese doppelte Validierung – sowohl der Anweisungen als auch des Pakets – schafft eine deutlich widerstandsfähigere Vertrauenskette.
Weitere Härtungsmaßnahmen für den Updater
Neben dem „Doppel-Schloss“ enthält das Update weitere wichtige Sicherheitsverbesserungen für die Auto-Update-Komponente WinGUp. Um eine gängige Angriffsmethode, das DLL Side-Loading, zu bekämpfen, entfernten die Entwickler die Abhängigkeit von der libcurl.dll-Bibliothek. Das verkleinert die Angriffsfläche.
Zudem wurden unsichere SSL-Optionen im cURL-Protokoll entfernt und die Ausführung von Plugin-Management-Funktionen eingeschränkt. Diese können nun nur noch von einem Programm mit derselben gültigen digitalen Signatur wie der WinGUp-Updater selbst gestartet werden.
Wenn Sie nach dem Supply‑Chain‑Angriff von Notepad++ prüfen möchten, ob Ihre Systeme wirklich sicher sind: Ein kostenloses E‑Book fasst die wichtigsten Cyber‑Security‑Trends zusammen und zeigt praxisnahe Schutzmaßnahmen — von der Absicherung von Update‑Ketten bis zu konkreten Prüfungen für Administratoren. Ideal für Entwickler und IT‑Verantwortliche, die gezielt Lücken schließen wollen. Gratis E‑Book: Cyber Security Awareness Trends jetzt herunterladen
Was Nutzer jetzt tun müssen
Das Notepad++-Team rät allen Nutzern dringend, sofort auf die Version 8.9.2 oder höher zu aktualisieren. Aufgrund der Art der früheren Schwachstelle sollte man sich nicht auf den Auto-Updater in älteren Versionen verlassen.
Stattdessen wird empfohlen, den Installer für Version 8.9.2 manuell von der offiziellen Notepad++-Website herunterzuladen und eine saubere Neuinstallation durchzuführen. Dieser Schritt ist entscheidend, um sich vor den Risiken der nun behobenen Schwachstellen zu schützen.
