IT-Solutions
Web
KB
deDeutsch
enEnglish (Englisch)

Notepad++ Hijacked Incident Update

Ilja Schlak

Notepad++ Hijacked Incident Update. WinGUp-Updates wurden selektiv umgeleitet. Erfahre, wie du Signaturen prüfst und sicher auf v8.9 oder neuer aktualisierst.Beim Notepad++ Hijacked Incident wurden Update-Anfragen des WinGUp-Updaters für ausgewählte Nutzer umgeleitet. Dadurch konnten statt legitimer Installer kompromittierte Binärdateien ausgeliefert werden. Notepad++ hat den Update-Prozess seither mit Signatur- und Zertifikatsprüfungen deutlich gehärtet.

Notepad++ Hijacked Incident Update – was ist passiert?

Notepad++ berichtet über einen gezielten Supply-Chain-Vorfall, bei dem Angreifer Update-Traffic so beeinflussten, dass einzelne Opfer auf schädliche Server umgelenkt wurden. Nach aktuellem Kenntnisstand lag der Kern des Problems nicht in einer klassischen Code-Schwachstelle im Editor selbst, sondern in der Kombination aus Infrastrukturkompromittierung und unzureichend strikter Update-Validierung in älteren Update-Pfaden.

Das offizielle Update mit Hintergrundinformationen und dem aktuellen Ermittlungsstand findet sich im Beitrag Notepad++ Hijacked by State-Sponsored Hackers.

Der Sicherheitsforscher Kevin Beaumont berichtete, dass die Manipulation des Update-Traffics in der Praxis missbraucht wurde, um ausgewählte Ziele zum Download von Malware zu bewegen. Mehrere Berichte ordnen die Aktivität China-nahen Akteuren zu und nennen als mögliche Zuordnung „Violet Typhoon“ (auch als APT31 bezeichnet) sowie einen Fokus auf Telekommunikations- und Finanzdienstleistungsunternehmen in Ostasien. Diese Einordnung ist als Attribution zu verstehen und nicht als abschließend bestätigte Täterfeststellung.

Zeitleiste und Einordnung

Die bislang öffentlich bekannten Daten deuten auf eine mehrmonatige Kampagne hin. Entscheidend ist dabei, dass die Umleitung nur einen kleinen, selektiv ausgewählten Teil der Update-Anfragen betraf, was die Erkennung erschwerte.

  • Beginn der beobachteten Aktivitäten im Sommer 2025, mit Hinweisen auf selektive Umleitungen seit Juni 2025
  • Der kompromittierte Hosting-Kontext soll spätestens im Herbst 2025 teilweise bereinigt worden sein, während einzelne Zugänge noch bis in den Dezember 2025 hinein missbraucht werden konnten
  • Notepad++ hat ab November und Dezember 2025 schrittweise technische Gegenmaßnahmen im Updater und in der Signaturprüfung ausgerollt
  • Weitere Sicherheitsverbesserungen folgten Ende Dezember 2025 und in nachgelagerten Releases

Welche Releases die Sicherheitslage konkret verbessert haben

Notepad++ hat den Update-Mechanismus in mehreren Stufen abgesichert. Besonders relevant sind dabei die Änderungen an der Prüfung der heruntergeladenen Installer.

  • Notepad++ v8.8.9 führt eine striktere Verifikation ein, indem während des Update-Prozesses sowohl Signatur als auch Zertifikat der Installer überprüft werden. Scheitert die Prüfung, wird das Update abgebrochen.
  • Notepad++ v8.9 entfernt zudem die Nutzung eines Self-signed-Zertifikats und setzt ausschließlich auf ein legitimes Zertifikat. Zusätzlich wird ein Security-Fehlerlog für Update-Probleme automatisch erzeugt.
  • Für die Integritätsprüfung und den Abgleich von Artefakten eignen sich die offiziellen Release-Artefakte und Prüfsummen auf GitHub Releases.

Was Anwender und Unternehmen jetzt tun sollten

Der wichtigste Schritt ist, alte Update-Pfade zu verlassen und auf einen Stand zu aktualisieren, der Signatur- und Zertifikatsprüfungen konsequent erzwingt.

  • Manuell auf eine aktuelle Notepad++ Version aktualisieren und Installationsdateien nur aus offiziellen Quellen beziehen.
  • Nach Möglichkeit die digitale Signatur des Installers prüfen und die Prüfsummen mit den offiziellen Release-Artefakten abgleichen.
  • Falls in der Vergangenheit ein Self-signed Root Certificate für Notepad++ installiert wurde, dieses entfernen und die Signaturkette bereinigen.
  • In Unternehmensumgebungen Telemetrie und EDR-Regeln auf auffällige Prozessketten rund um Update-Prozesse ausrichten, insbesondere wenn Installer aus temporären Pfaden gestartet wurden.
  • Bei Update-Abbrüchen das Security-Fehlerlog auswerten und verdächtige Abweichungen zentral korrelieren.

Was noch offen ist

Notepad++ weist darauf hin, dass die genaue technische Methode der Traffic-Umleitung weiterhin untersucht wird. Damit bleibt insbesondere die Frage relevant, in welchem Umfang Netzwerkpfade, Hosting-Infrastruktur oder vorgelagerte Ketten ausgenutzt wurden und wie groß die tatsächliche Opferzahl war.

Category: News

Schlagwörter

AI Aktiengesellschaft Aktuelle Schwachstellen Assets Basiswissen cloud security Coding Consulting CVE-2024-37079 Cyber Defence Design Ethical Hacking Hosting ISMS ISO27001 IT IT-Sicherheit IT-Systeme kb KI Konzept Ladezeiten LLMS netzwerk News NLP OCTAVE Online Marketing Ports PowerShell Recht Risiko Risikomanagement Schwachstelle Scripting Security SEO SSH Switch Usability vlan VMware vCenter Server Webdesign Windows Server Wordpress
Vorheriger Beitrag
Credential-Leak 149 Millionen Passwörter – Risiken und Schutzmaßnahmen
Nächster Beitrag
Microsoft treibt die NTLM-Ablösung voran
Unser Newsletter

Abonnieren und keine Inhalte mehr verpassen

[mc4wp_form id=”730″]

Unser Newsletter

Abonnieren und keine Inhalte mehr verpassen

[mc4wp_form id=”730″]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Bitte füllen Sie dieses Feld aus.
Bitte füllen Sie dieses Feld aus.
Bitte gib eine gültige E-Mail-Adresse ein.

Das könnte noch interessant sein