Notepad++-Updates bei staatlich gefördertem Angriff gekapert, Entwickler reagieren

/de/images/Notepad-feature-image.jpg

Benutzer von Notepad++ wurden Opfer eines raffinierten Angriffs, als staatlich geförderte Hacker das Update-System des Dienstprogramms kaperten und den Datenverkehr auf bösartige Server umleiteten. Die Nachricht kommt vom Entwickler Don Ho, der bestätigte, dass der Verstoß auf der Ebene des Hosting-Anbieters stattgefunden hat und nicht durch Schwachstellen in Notepad++ selbst verursacht wurde.

Ho erklärte, dass Angreifer die Infrastruktur hinter dem Update-Prozess kompromittiert hätten, wodurch sie den für notepad-plus-plus.org bestimmten Datenverkehr abfangen und bösartige ausführbare Dateien an gezielte Benutzer weiterleiten konnten. Die genaue Methode der Entführung wird noch untersucht, aber erste Berichte deuten auf ein äußerst selektives Vorgehen hin, das nur bestimmte Nutzer im Telekommunikations- und Finanzdienstleistungsbereich in ganz Ostasien betrifft.

Die Sicherheitslücke bezieht sich auf WinGUp, den integrierten Updater von Notepad++, und seinen Überprüfungsprozess. Angreifer nutzten die Art und Weise aus, wie der Updater die Integrität und Authentizität der heruntergeladenen Dateien überprüfte, und brachten ihn effektiv dazu, vergiftete Binärdateien zu installieren.

Als Reaktion darauf hat Hos Team die offizielle Website zu einem neuen Hosting-Anbieter mit strengeren Sicherheitsprotokollen verschoben und den Aktualisierungsprozess durch zusätzliche Sicherheitsmaßnahmen verstärkt. „Nach Angaben des ehemaligen Hosting-Anbieters war der gemeinsam genutzte Server bis zum 2. September 2025 kompromittiert“, sagte Ho. „Selbst nach dem Verlust des Zugriffs behielten die Angreifer ihre Anmeldedaten bis zum 2. Dezember 2025 bei, sodass sie den Update-Verkehr weiterhin auf bösartige Server umleiten konnten.“

Der unabhängige Forscher Kevin Beaumont brachte diese Angriffe mit einer chinesischen Nationalstaatsgruppe namens Violet Typhoon in Verbindung, auch APT31 genannt (über The Hacker News). Man geht davon aus, dass die Kampagne im Juni 2025 begonnen hat, Monate bevor sie öffentlich bekannt wurde. Der Vorfall folgt auf Notepad++ Version 8.8.9, die letzten Monat veröffentlicht wurde, um frühere Umleitungsprobleme zu beheben.

Der Verstoß weist auf die mit Software-Lieferketten verbundenen Risiken hin und unterstreicht die wachsenden Fähigkeiten staatlich geförderter Cyber-Akteure. Vorerst werden Benutzer von Notepad++ dringend gebeten, sicherzustellen, dass ihre Updates direkt von der offiziellen Website stammen, und dass sie wachsam bleiben, während die Untersuchung andauert. Darüber hinaus hat der Entwickler auch darauf hingewiesen, Version 8.9.1 herunterzuladen, die offenbar die entsprechende Sicherheitsverbesserung enthält.

Bildquelle des Artikelfeatures: Notepad++

*️⃣ Quelllink:

bestätigt , diese Angriffe verlinkt , The Hacker News ,