Angriff durch chinesische Akteure lässt Sicherheitslücken ans Licht treten
Der beliebte Texteditor Notepad++ wurde zum Ziel eines gezielten Angriffs. Sicherheitsexperten bestätigten – dass staatlich geförderte Hacker aus China über mehrere Monate hinweg Zugriff auf die Infrastruktur erlangten. Diese Erkenntnis erklärt die Sicherheitswarnungen die Ende letzten Jahres öffentlich wurden und zeigt die Hintergründe der Bedrohung auf.
Server-Hoster als Schwachstelle identifiziert
Analysen des Entwicklers offenbarten. Dass Angriff bereits im Juni 2025 begann. Die Täter erlangten Kontrolle über einen Shared-Hosting-Server – eine wichtige Plattform für den Versand von Software-Updates. Obwohl die Hacker am 2. September 2025 durch ein Wartungsupdate des Hosters den direkten Zugriff verloren, war die Gefahr noch nicht beendet.
Da die Zugangsdaten für interne Systeme nach dem Angriff weiterhin unverändert blieben, behielten die Angreifer die Kontrolle und konnten den Datenverkehr bis zum 2. Dezember 2025 manipulieren. Erst zu diesem Zeitpunkt wurden alle Passwörter geändert und Sicherheitslücken geschlossen um weiteren Schaden zu verhindern.
Frühe Warnzeichen im Dezember 2025 erkannt
Ende 2025 wurden erste Hinweise auf Manipulationen im Update-Prozess sichtbar. Sicherheitsforscher berichteten damals von Fällen, in denen der Datenverkehr des Notepad++-Update-Clients abgefangen und umgeleitet wurde. Die Reaktion kam in Form eines Updates auf Version 8․8․9 vom 9. Dezember. Dieses schloss eine Schwachstelle im Updater-Werkzeug WinGUp, das die Integrität der heruntergeladenen Dateien nicht ausreichend prüfte.
Mit der Version 8․8․9 führte Notepad++ eine strikte Signatur- und Zertifikatsprüfung ein. Bei fehlender Gültigkeit brach das Update sofort ab. Was anfangs nur als allgemeine Sicherheitslücke erschien, entpuppte sich später als Teil einer groß angelegten Spionagekampagne.
Gezielte Angriffe gegen spezifische Nutzergruppen
Die aktuellen Erkenntnisse deuten auf einen gezielten Ansatz der Angreifer hin. Laut Analysehandelt es sich bei den Tätern um eine staatlich geförderte Hackergruppe aus China. Anstelle breit gestreuter Schadsoftware fokussieren die Angreifer auf bestimmte Organisationen im südasiatischen Raum. Es wurden spezifische Nutzer abgefangen und auf manipulierte Download-Server umgeleitet. Diese Vorgehensweise zeugt von sehr präzisem Vorgehen – eine klare Abgrenzung zu kriminellen Massenattacken.
Technisch ausgenutzt haben die Hacker jene Sicherheitslücken die erst durch das Dezember-Update behoben wurden. Ein mögliches Motiv könnte politischer Natur sein. Entwickler Don Ho nutzt die Popularität von Notepad++ wiederholt für politische Botschaften die sich gegen die chinesische Regierung richten. Versionen aus dem Jahr 2024 trugen auffällig politische Titel, darunter „Support Taiwan's Independence“ oder „Support Taiwan's return to the UN“.
Konsequenzen und härtete Sicherheitsmaßnahmen
In Reaktion auf die Angriffe hat Ho sich bei den Nutzern entschuldigt. Zudem wurde die Webseite auf einen neuen – deutlich sichereren Provider umgezogen. Die nächste Version 8․9․2 wird die Kommunikation zwischen Client und Server digital signieren – eine technische Maßnahme um Manipulationen künftig unmöglich zu machen.
Dass Notepad++ im Fokus von Angreifern steht ist kein neues Phänomen. Aufgrund seiner weiten Verbreitung haben Hacker den Titel immer wieder als Köder genutzt. Bereits vor einigen Jahren führte eine Malware-Kampagne dazu, dass eine Google-Suche nach Notepad++ zur Infektion führte.
<!-- Kontakt- oder Pressekontaktdaten wurden entfernt. -->
Kommentare