Der beliebte Quellcode-Editor Notepad++ war über ein halbes Jahr Ziel einer raffinierten Lieferketten-Attacke. Angreifer kaperten den Update-Mechanismus, um gezielt Spionagesoftware zu verbreiten.
Die Entwickler bestätigten Anfang Februar 2026, dass Hacker von Juni bis Dezember 2025 einen externen Hosting-Anbieter kompromittiert hatten. Über diesen Zugang leiteten sie Update-Anfragen um und schleusten so Malware auf ausgewählte Systeme. Der Angriff nutzte keine Schwachstelle im Notepad++-Code selbst, sondern manipulierte die Vertrauenskette der Software-Verteilung – ein wachsendes Problem in der Cybersicherheit.
Angriff über den Hosting-Dienstleister
Die Attacke begann im Juni 2025. Die Angreifer verschafften sich Zugang zum gemeinsam genutzten Server des Notepad++-Projekts. Dadurch konnten sie gezielt Datenverkehr vom offiziellen Notepad++-Domain auf eigene Server umleiten. Ein Routine-Update des Hosters unterbrach den direkten Serverzugriff am 2. September 2025 vorübergehend.
Lieferketten-Attacken wie diese machen deutlich, wie gefährlich ungesicherte Update‑Mechanismen sein können. Ein kostenloser Cyber‑Security‑Report erklärt aktuelle Angriffszenarien — von manipulierten Updatestrecken bis zu gezielten Spionagetools — und liefert praxisnahe Schritte, mit denen IT‑Teams Update‑Verifikationen, Signaturprüfungen und Endpoint‑Logs sofort härten können. Inklusive Checkliste zur Absicherung von Update‑Prozessen für Unternehmen jeder Größe. Jetzt kostenlosen Cyber‑Security‑Report herunterladen
Doch mit gestohlenen Zugangsdaten setzten die Hacker die Umleitung fort – bis zum endgültigen Zugriffsstopp am 2. Dezember 2025. Die Schadsoftware tarnte sich als legitimes Update. Möglich wurde dies durch unzureichende Prüfungen von Signaturen und Zertifikaten im WinGUp-Auto-Updater der Versionen 8.8.9 und älter.
Gezielte Spionage statt Massenangriff
Anders als bei Ransomware-Attacken handelte es sich um eine präzise Spionageoperation. Sicherheitsforscher fanden nur etwa ein Dutzend infizierte Systeme. Die Opfer: Regierungsstellen auf den Philippinen, Finanzinstitute, IT-Dienstleister und Telekommunikationsfirmen, vornehmlich in Südostasien.
Wer steckt dahinter? Die Sicherheitsfirma Rapid7 ordnet den Angriff der Gruppe Lotus Blossom zu – einem mutmaßlich chinesischen, staatlich unterstützten Akteur, der für Attacken in Südostasien bekannt ist. Andere Forscher nennen die Gruppe Zirconium. Die eingesetzten Werkzeuge wie die neuartige Backdoor „Chrysalis“ oder Cobalt Strike sind typisch für Spionageoperationen.
Notepad++ reagiert mit Sicherheits-Upgrade
Als Konsequenz hat das Notepad++-Projekt seine Infrastruktur gesichert. Die Webseite wechselte zu einem Hosting-Anbieter mit stärkeren Schutzmaßnahmen. Entscheidend: Der Update-Prozess wurde grundlegend verbessert.
Seit Version 8.8.9 aus Dezember 2025 prüft der WinGup-Updater sowohl Zertifikat als auch digitale Signatur der heruntergeladenen Installationsdatei. Die kommende Version 8.9.2 soll die Validierung der Update-Server-Daten weiter verschärfen. Das Ziel: Manipulationen künftig unmöglich machen.
Was bedeutet das für Nutzer?
Der Fall zeigt die Gefahr, die in automatischen Updates steckt. Diese laufen oft mit erhöhten Rechten im Hintergrund – ein perfektes Einfallstor für Lieferkettenangriffe. Die Kompromittierung eines Zulieferers kann eine vertrauenswürdige Softwarefunktion zur Malware-Schleuder machen.
Nutzer sollten die neueste Version von Notepad++ manuell von der offiziellen Webseite oder dem GitHub-Repository laden. Unternehmen müssen ihre Endpunkt-Logs auf ungewöhnliche Aktivitäten des Notepad++-Updaters zwischen Juni und Dezember 2025 überprüfen. Der Vorfall unterstreicht: Robuste Verifikationsmechanismen sind für Software-Updates überlebenswichtig.
PS: Übrigens — wer solche Manipulationen künftig frühzeitig entdecken und verhindern will, findet im gleichen kostenlosen Cyber‑Security‑Guide konkrete Audit‑Checklisten: Welche Log‑Quellen Sie priorisieren, wie Sie Update‑Server und Signaturketten prüfen und welche organisatorischen Maßnahmen Angreifern langfristig das Leben schwer machen. Gratis Cyber‑Security‑Guide jetzt anfordern
