Notepad++: Chinesische Hacker kapern Update-Prozess für Spionage

Eine mutmaßlich staatlich unterstützte Hackergruppe aus China hat über Monate die Update-Infrastruktur des beliebten Text-Editors kompromittiert, um gezielt Nutzer mit Schadsoftware zu infizieren.

Der weltweit genutzte Open-Source-Editor Notepad++ wurde zum Einfallstor für einen hochentwickelten Cyberangriff. Wie das Entwicklungsteam Anfang Februar 2026 bestätigte, manipulierte eine mutmaßlich chinesische Advanced Persistent Threat (APT)-Gruppe über ein halbes Jahr lang den Update-Mechanismus. Der Angriff unterstreicht die wachsende Gefahr von Lieferkettenangriffen, bei denen nicht die Software selbst, sondern ihre Vertriebswege angegriffen werden.

Raffinierter Angriff auf die Hosting-Infrastruktur

Die Hacker gingen nicht auf Schwachstellen im Code von Notepad++ selbst los. Stattdessen kompromittierten sie zwischen Juni und Dezember 2025 den externen Shared-Hosting-Server der offiziellen Projekt-Website. Über diesen Zugang manipulierten sie die Update-Manifeste – Steuerdateien, die dem Programm mitteilen, wo es nach Aktualisierungen sucht.

Lieferkettenangriffe – wie die gezielte Manipulation des Notepad++-Update‑Mechanismus – zeigen, wie anfällig Update‑Pipelines und Hosting‑Infrastrukturen sind. Unser kostenloses E‑Book erklärt praktische Schutzmaßnahmen für Unternehmen und IT‑Teams: von Integritätsprüfungen und kryptografischen Signatur‑Prüfungen bis zu sicheren Deployment‑Prozessen und Monitoring. Enthalten sind konkrete Checklisten für IT‑Administratoren, Sofort‑Schritte zur Erkennung kompromittierter Updates und Empfehlungen für Update‑Tools wie WinGUp. Jetzt kostenloses Cyber‑Security‑E‑Book herunterladen

So konnten sie Anfragen von spezifischen Zielrechnern auf eigene, bösartige Server umleiten. Eine temporäre Wartung des Providers im September unterbrach den direkten Zugriff nur kurz. Mit zuvor gestohlenen Zugangsdaten behielten die Angreifer die Kontrolle und setzten die Manipulation bis Dezember fort. Möglich machte dies eine Schwäche in älteren Versionen des Notepad++-Updaters „WinGUp“, der heruntergeladene Dateien nicht streng genug prüfte.

Gezielte Spionage statt breiter Attacke

Sicherheitsexperten bringen die Operation mit der bekannten chinesischen APT-Gruppe „Lotus Blossom“ in Verbindung. Im Gegensatz zu Ransomware-Angriffen zielte diese Kampagne auf präzise Spionage ab. Die als „Chrysalis“ identifizierte Malware wurde nur auf einer kleinen Anzahl sorgfältig ausgewählter Systeme installiert, vor allem in Ländern wie Vietnam, den Philippinen und Australien.

Die Schadsoftware gewährte den Hackern interaktive Kontrolle über die infizierten Rechner. Dies öffnete Tür und Tor für Datendiebstahl und die weitere Aufklärung von Netzwerken der betroffenen Organisationen.

Notepad++ schließt Sicherheitslücken

Das Entwicklungsteam um Don Ho reagierte umgehend auf die Enthüllungen. Die wichtigsten Gegenmaßnahmen:
* Umzug der Website zu einem Hosting-Anbieter mit moderneren Sicherheitsstandards.
* Grundlegende Überarbeitung des Update-Mechanismus. Seit Version 8.8.9 (Dezember 2025) prüft der Updater „WinGUp“ nun obligatorisch digitale Zertifikate und kryptografische Signaturen aller Installationsdateien.
* Transparente Kommunikation des Vorfalls an die Nutzergemeinschaft.

Weckruf für die gesamte IT-Branche

Der Fall Notepad++ ist ein Lehrbeispiel für die Verwundbarkeit der digitalen Lieferkette. Angreifer fokussieren sich zunehmend auf schwache Glieder in der Vertriebs- und Update-Infrastruktur vertrauenswürdiger Software. Für Entwicklerwerkzeuge wie Notepad++, die in Unternehmen oft dezentral und ohne zentrale Erfassung genutzt werden, ist das Risiko besonders hoch.

Die Konsequenz: Eine reine Code-Überprüfung reicht nicht mehr aus. Die gesamte Bereitstellungs- und Update-Pipeline muss abgesichert werden.

Handlungsempfehlungen für Nutzer und Unternehmen

• Nutzer sollten Notepad++ umgehend auf die aktuellste Version updaten, um von den neuen Sicherheitsprüfungen zu profitieren.
• IT-Administratoren müssen prüfen, ob in ihrem Unternehmen veraltete, anfällige Versionen im Einsatz sind, und diese austauschen.
• Die veröffentlichten Indikatoren für eine Kompromittierung (IoC) sollten genutzt werden, um Netzwerke auf Spuren der „Chrysalis“-Malware zu untersuchen.

Der Angriff macht deutlich: Die Verifikation von Dateisignaturen und der Schutz der Hosting-Infrastruktur sind heute keine Option mehr, sondern eine grundlegende Notwendigkeit im Kampf gegen staatliche Hacker.

PS: Sie betreuen Netzwerke oder Software‑Projekte? Der Vorfall mit Notepad++ unterstreicht, wie wichtig Awareness und konkrete Abwehrmaßnahmen sind. Das gratis E‑Book „Cyber Security Awareness Trends“ fasst aktuelle Angriffsformen, notwendige Kontrollen (z. B. Signatur‑Checks) und praxisnahe Maßnahmen zur Stärkung kleiner bis mittlerer IT‑Abteilungen zusammen. Es enthält zudem Vorlagen für Incident‑Checks, Hinweise zum Umgang mit Indikatoren für Kompromittierung (IoC) und Empfehlungen für Mitarbeiter‑Awareness. Gratis E‑Book: Cyber Security Awareness Trends sichern