Über Monate hinweg wurde die Update‑Infrastruktur des beliebten Editors Notepad++ von professionellen Angreifern (vermutlich von einer chinesischen Hackergruppe) manipuliert. Was zunächst wie ein gewöhnlicher Softwarefehler wirkte, entpuppte sich als hochentwickelte Supply‑Chain‑Attacke mit klarer Zielsetzung. Ausgewählte Organisationen unbemerkt mit Schadsoftware zu infiltrieren.

Update 03.02.2026 15:12: Wir haben nun neue IoCs gefunden, die die direkte Suche nach einem Angriff ermöglichen. Diese wurden unten ergänzt.

Ein Angriff über die Update‑Kette

Die Attacke begann damit, dass sich die Täter Zugang zu dem Server verschafften, der für die Verteilung der Notepad++ Updates verantwortlich war. Dadurch konnten sie den Datenverkehr gezielt umleiten und manipulierte Installationspakete ausliefern. Der entscheidende Punkt war dabei dass die eigentliche Anwendung technisch nicht verwundbar war. Die Schwachstelle lag auf der Ebene des Hosting‑Anbieters und damit sehr schwer zu erkennen.

Besonders beeindurckend war die Vorgehensweise. Nicht jeder Nutzer wurde angegriffen. Stattdessen filterten die Angreifer den Update‑Traffic und ersetzten Downloads nur bei ausgewählten Zielen durch manipulierte Versionen.

Warum war das möglich?

Der Update‑Mechanismus älterer Notepad++ versionen prüfte heruntergeladene Dateien teilweise nicht streng genug. Unzureichende Signatur‑ und Zertifikatsvalidierung ermöglichte es, manipulierte Installer als legitime Updates auszugeben. Wer in diesem Zeitraum ein automatisches Update durchführte, konnte so unbemerkt Malware erhalten.

Gleichzeitig hatten die Angreifer tiefgehenden, längerfristigen Zugriff auf das Hosting‑System. Selbst nachdem der direkte Serverzugang zwischenzeitlich verloren ging, konnten sie aufgrund erbeuteter Zugangsdaten weiterhin interne Dienste missbrauchen und gezielt Updates umleiten.

Wen traf die Attacke?

Die Kampagne richtete sich vor allem gegen sicherheitskritische Organisationen in stark vernetzten Branchen. Dazu gehörten insbesondere:

• Telekommunikationsanbieter

• Finanzinstitutionen

• Einzelne strategisch relevante Organisationen in Ostasien

  
  

Diese zielgerichtete Vorgehensweise spricht eindeutig für eine langfristig geplante, staatlich unterstützte Operation und keine breit angelegte Cyberkriminalität.

Reaktion des Projekts

Nachdem der Angriff entdeckt wurde, reagierte das Notepad++‑Team schnell und entschlossen:

• Umzug auf einen Hosting‑Provider mit deutlich höheren Sicherheitsstandards

• Einführung strengerer Prüfmechanismen für Installer und Update‑Manifestdateien

• Entfernung unsicherer Zertifikate

• Verbesserung des Updaters (WinGUp) zur Validierung von Signaturen und Zertifikaten

• Vorbereitung zusätzlicher Sicherheitsmaßnahmen in kommenden Versionen

  
  

Damit wurde die angreifbare Infrastruktur nachhaltig abgesichert und der Update‑Prozess deutlich gehärtet.

Was müssen Unternehmen jetzt tun?

Damit sich ein Fall wie der kompromittierte Notepad++‑Updater nicht zu einem Einfallstor in die eigene IT‑Landschaft entwickelt, sollten Unternehmen jetzt konkrete Schritte setzen. Diese variieren je nach Notepad++ Version:

Welche IoCs existieren aktuell für Notepad++ Angriffe und wie prüfen Unternehmen ob sie betroffen sind?

Aktuell ist noch nicht so viel über die Angriffe bekannt, da es eine geringe Menge waren. Dementsprechend existieren auch nicht viele IoCs. Dennoch ist es möglich die eigenen Logdaten auf Angriffe zu prüfen indem man logisch vorgeht. Wir empfehlen dabei folgende Erkennung:

Der Ursprung der Angriffe lag im Updater "gup.exe". Es gilt dabei zu prüfen, ob der Updater auf andere Domains als folgende zugegriffen hat:

• notepad-plus-plus.org

• github.com

• release-assets.githubusercontent.com

Sollte dem so sein, so müsste weiters überprüft werden ob Auffällige Programme wie "Updater.exe" oder "AutoUpdate.exe" nachgeladen wurde und diese dann CMD oder Powershell gestartet haben.

In SentinelOne könnte so ein Query wie folgt aussehen:

| filter( event.type == "IP Connect" AND src.process.name == "gup.exe" AND ( dst.ip.address in:anycase( "notepad-plus-plus.org", "github.com", "release-assets.githubusercontent.com" ) OR event.dns.request in:anycase( "notepad-plus-plus.org", "github.com", "release-assets.githubusercontent.com" ) ) ) 
| columns event.time, event.id, event.type, site.id, site.name, agent.uuid, src.process.storyline.id, src.process.user, src.process.uid, src.process.cmdline, src.process.image.path, dst.ip.address, dst.port.number, event.dns.request, event.dns.response, event.network.direction, event.network.protocolName, event.network.connectionStatus
| sort - event.time
| limit 1000

Als Zeitraum sollten Unternehmen bis Juni 2025 zurückgehen, sofern noch Daten von damals existieren.

Update 03.02: Es wurden weitere IoCs für Unternehmen veröffentlich. Es sollte nach folgenden Werten gesucht werden, die eine Kompromittierung nahe legen:

• Description: NSIS Installation script

• SHA-256: 8ea8b83645fba6e23d48075a0d3fc73ad2ba515b4536710cda4f1f232718f53e

• Description: renamed Bitdefender Submission Wizard used for DLL sideloading

• SHA-256: 2da00de67720f5f13b17e9d985fe70f10f153da60c9ab1086fe58f069a156924

• Description: Encrypted shellcode

• SHA-256: 77bfea78def679aa1117f569a35e8fd1542df21f7e00e27f192c907e61d63a2e

• Description: Malicious DLL sideloaded by BluetoothService.exe

• SHA-256: 3bdc4c0637591533f1d4198a72a33426c01f69bd2e15ceee547866f65e26b7ad

Fazit: Vertrauen ist gut. Prüfung ist Pflicht

Der Angriff auf die Update‑Infrastruktur von Notepad++ macht deutlich, wie fragil moderne Software‑Lieferketten geworden sind. Ein vermeintlich harmloses Update ist längst nicht mehr automatisch vertrauenswürdig. Jede einzelne Komponente im Update‑ und Verteilprozess muss überprüfbar, abgesichert und kontinuierlich überwacht werden. Unternehmen sollten daher unverzüglich prüfen, ob sie in dem genannten Zeitraum betroffen waren, und ihre internen Update‑Mechanismen sowie Bezugsquellen konsequent auf Manipulation oder ungewöhnliche Aktivitäten analysieren.