Notepad++: Update-Server von mutmaßlich chinesischen Hackern gekapert

Ein gezielter Cyberangriff auf die Update-Infrastruktur des beliebten Text-Editors Notepad++ hat monatelang unbemerkt Datenverkehr umgeleitet. Hinter der Attacke stehen laut Sicherheitsexperten mutmaßlich staatlich geförderte Akteure aus China.

Update-Server über Monate kompromittiert

Der Angriff zielte nicht auf eine Schwachstelle im Quellcode ab, sondern auf die Hosting-Infrastruktur selbst. Die Täter kompromittierten den Shared-Hosting-Server der Notepad++-Website. Dadurch konnten sie den Datenverkehr des integrierten Updaters für ausgewählte Nutzer abfangen und auf bösartige Server umleiten. Der Angriff lief von Juni bis Dezember 2025. Obwohl der direkte Zugriff im September unterbunden wurde, nutzten die Hacker erbeutete Zugangsdaten, um bis Dezember weiterhin den Update-Verkehr zu manipulieren.

Gezielte Spionage statt Massenangriff

Die hohe Selektivität des Angriffs deutet auf staatliche Akteure hin. Statt Schadsoftware flächendeckend zu verteilen, konzentrierten sich die Täter auf eine kleine, spezifische Zielgruppe. Sicherheitsforscher wie Kevin Beaumont ordnen die Aktivität der chinesischen Hackergruppe Zirconium (auch Violet Typhoon) zu. Diese zielte demnach auf Telekommunikations- und Finanzunternehmen in Ostasien ab – ein Muster, das für staatliche Wirtschaftsspionage typisch ist.

Notepad++ zieht Konsequenzen und warnt Nutzer

Das Entwicklungsteam reagierte umgehend. Notepad++ ist zu einem neuen, sichereren Hosting-Anbieter umgezogen. Zudem wurden die Sicherheitsmechanismen im Update-Prozess verschärft. Seit Version 8.8.9 prüft die Software digitale Signaturen und Zertifikate strenger, um Man-in-the-Middle-Angriffe zu verhindern. Für Nutzer älterer Versionen gilt eine dringende Warnung: Updates sollten nicht über die integrierte Funktion, sondern manuell von der offiziellen Website heruntergeladen werden.

Lieferkettenangriffe auf Update-Infrastrukturen sind eine wachsende Gefahr — nicht nur für Endnutzer, sondern insbesondere für Unternehmen. Das kostenlose E‑Book „Cyber Security Awareness Trends“ zeigt praxisnah, welche Schutzmaßnahmen sofort wirken, wie Sie Update-Server und Software-Lieferketten absichern und Mitarbeiter gegen gezielte Spionage- und Social‑Engineering-Angriffe sensibilisieren. Ein kompakter Leitfaden für IT-Verantwortliche und Entscheider mit konkreten Schritten zur Risikominimierung. Jetzt kostenlosen Cyber-Security-Guide herunterladen

Lieferketten werden zum kritischen Schwachpunkt

Der Vorfall ist ein weiteres alarmierendes Beispiel für die wachsende Bedrohung durch Lieferkettenangriffe. Ähnlich wie beim Angriff ShadowHammer auf ASUS wird hier nicht die Endsoftware, sondern die Update-Infrastruktur angegriffen. Für die Softwarebranche, insbesondere Open-Source-Projekte, ist dies ein Weckruf. Oft laufen diese auf gemeinsam genutzter und weniger abgesicherter Infrastruktur. Für Unternehmen unterstreicht der Fall, wie wichtig ein robustes Management der Software-Lieferkette ist – selbst bei scheinbar harmlosen Alltagswerkzeugen.