10.06.2026
10.06.2026

Supply-Chain-Angriffe auf Notepad++: Staatliche Hacker kapern Udatep-Mechanismus

daonware 0 Kommentare

Der beliebte Open-Source-Editor Notepad++ ist ins Visier hochentwickelter Cyberkrimineller geraten. Über einen Zeitraum von rund sechs Monaten wurde die Update-Infrastruktur des Tools kompromittiert, um gezielt Schadsoftware an ausgewählte Ziele zu verteilen. Doch das ist nicht die einzige Baustelle: Kaum ist der Server-Vorfall ausgestanden, sorgt eine unvollständig behobene Code-Schwachstelle (CVE-2026-48800) für neuen Zündstoff.

Beitrag von der Daonware-Redaktion | Stand: Juni 2026

In diesem Artikel beleuchten wir die technischen Hintergründe des Supply-Chain-Angriffs, analysieren den gescheiterten Software-Patch und zeigen Ihnen, wie Sie Ihre Systeme effektiv schützen.

Was ist passiert? Der Kern des Vorfalls!

Es handelt sich um einen klassischen Lieferketten-Angriff (Supply-Chain-Attack). Staatlich unterstützte Hacker haben über mehrere Monate hinweg den Update-Mechanismus von Notepad++ gekapert, um Malware auszuliefern. Wichtig zu wissen: Die Angreifer nutzten dabei keine Schwachstelle im Code des Editors selbst aus. Stattdessen kompromittierten sie den Shared-Hostinger-Server des Projekts.

Durch diesen Zugriff gelang ihnen ein Man-in-the-Middle-Angriff (MitM), bei dem sie Update-Anfragen des internen Updaters (WinGUp) auf bösartige, von den Angreifern kontrollierte Server umleiteten. Begünstigt wurde dies durch ein Sicherheitsversäumnis: Notepad++-Versionen vor v8.8.9 verifiziertem die digitale Signatur und das Zertifikat der heruntergeladenen Daten nicht standardmäßig. Der Vorfall erstrecke sich über den Zeitraum von Juni 2025 bis zum 2. Dezember 2025.

Was steckt dahinter?

Mehrere unabhängige Sicherheitsforscher gehen davon aus, dass eine chinesische, staatlich unterstützte Hackergruppe für den Angriff verantwortlich ist. Die Kampagne wird von Analysten spezifischen Akteuren wie Zirconium (auch bekannt als Violet Typhoon) oder Lotus Blossom (Lotus Panda, Billburg) zugeordnet.

Wer war das Ziel?

Der Angriff erfolgte extrem selektiv und zielgerichtet. Die Angreifer leiteten nicht den gesamten Datenverkehr um, sondern suchten sich ihre Opfer gezielt aus. Im Fokus standen hauptsächlich Organisationen im Bereich der Telekommunikation und Finanzdienstleistungen in Ost- und Südasien. Dieses hochgradig fokussierte Vorgehen deutet stark auf klassische Spionageaktivitäten anstelle von finanziell motivierter Cyberkriminalität hin.

Die technische Analyse: Wie funktionierte der Angriff?

Infrastruktur vs. Quellcode

Die Schwachstelle lag eindeutig in der Infrastruktur, nicht im Quellcode von Notepad++. Die Angreifer machten sich keine Programmierfehler des Editors zunutze, sondern infizierten den Shared-Hosting-Server des Projekts (notepad-plus-plus.org). Durch diesen weitreichenden Zugriff auf der Infrastrukturebene befanden sie sich in der perfekten Position, um den legitimen Datenverkehr des Update-Prozesses abzufangen und zu manipulieren.

Ablauf des »Man-in-the-Middle«-Angriffs

Der Angriff nutzte den eingebauten Update-Mechanismus von Notepad++, ein separates Programm namens WinGUp (gup.exe).

  1. Wenn Nutzer (oder die Software automatisch) nach Updates suchten, kontaktierte WinGUp die URL notepad-plus-plus.org/update/getDownloadUrl.php.
  2. Die Angreifer fingen diesen Netzwerkverkehr auf dem kompromittierten Server ab.
  3. Selektive Umleitung: Nur die Verbindungen von bestimmten, vorab anvisierten Opfern wurden auf die bösartigen Server der Hacker umgeleitet.
  4. Diese Server sendeten ein manipuliertes Update-Manifest zurück, woraufhin WinGUp eine Schadsoftware (oft getarnt unter Namen wie update.exe oder AutoUpdater.exe) herunterlud und ausführte.

Warum konnte der Updater ausgetrickst werden?

Dass die Malware letztlich ausgeführt wurde, lag an einer unzureichenden Sicherheitsüberprüfung in allen Notepad++-Versionen vor v8.8.9. Obwohl der Entwickler bereits in Version 8.8.7 ein legitimes GlobalSign-Zertifikat zum Signieren der Dateien eingeführt hatte, versäumte es der WinGUp-Updater, die digitale Signatur und das Zertifikat der heruntergeladenen Installer-Dateien zwingend zu verifizieren. Ohne diese Integritäts- und Authentizitätsprüfung vertraute das Programm der ungergeschobenen Datei blind und installierte sie mit den Rechten des Nutzers.

Der Zeitstrahl der Kompromittierung

Die Kompromittierung blieb lange unbemerkt und erstreckte sich über rund sechs Monate:

  • Juni 2025: Der Angriff beginnt mit dem erfolgreichen Eindringen in die Serverinfrastruktur des Hosting-Anbieters
  • 2. September 2025: Der direkte Zugriff der Angreifer auf den Shared-Hosting-Server wird getrennt – laut Sicherheitsanalysen durch ein Kernel- und Firmware-Update des Hosters.
  • September bis 2. Dezember 2025: Obwohl die Angreifer keinen direkten Serverzugriff mehr haben, behalten sie die Passwörter und Zugangsdaten zu internen Diensten. Dies erlaubt es ihnen, den Update-Datenverkehr für ihre Zielpersonen noch drei weitere Monate lang umzuleiten.
  • 2. Dezember 2025: Alle Abhilfemaßnahmen (Remediation) und Sicherheitsverbesserungen durch den Hoster werden endgültig abgeschlossen. Die Aktivität der Hacker ist blockiert. Kurz darauf zieht die Notepad++-Webseite zu einem neuen, sichereren Provider um.

Infrastruktur-Update: Wo liegt die Webseite heute?

Nach den Vorfällen im Jahr 2025 zog das Projekt Konsequenzen. Eine technische Analyse der Analyse der Infrastruktur (Stand: Mitte 2026) zeigt, wo die offizielle Webseite notepad-plus-plus.org heute betrieben wird. Da diese Daten im Domain Name System (DNS) und in WHOIS-Datenbanken öffentlich einsehbar sind, lässt sich der neue Hoster exakt bestimmen:

  • IP-Adresse: Die Domain löst aktuell auf die IP-Adresse 95.128.40.104 auf.
  • Hosting-Anbieter: Diese IP-Zone gehört zu Aqua Ray SAS (oft kurz Aquaray genannt).
  • Standort: Der Server befindet sich in Paris, Frankreich (Rechenzentrum in Ivry-sur-Seine).
Eine technische Analyse der Infrastruktur (Stand: Mitte 2026)
Strategischer Hintergrund zum Wechsel

Aqua Ray ist ein französischer Anbieter für Cloud-Hosting und Managed Services. Dass Notepad++ dorthin gewechselt ist, ist kein Zufall: Es passt zur Strategie des Chefentwicklers Don Ho (der selbst in Frankreich lebt), die Infrastruktur weg von großen, intransparenten Shared-Hosting-Anbietern hin zu spezialisierten, europäischen Plattformen zu verlagern. Dies soll nach den Erfahrungen aus dem Jahr 2025 eine bessere Kontrolle, physische Nähe und erhöhte Sicherheit gewährleisten.

Der zugehörige Reverse-DNS-Eintrag der IP (ha1.prod.cpi1.notepadplusplus.pf.internet.wf) bestätigt zudem, dass es sich hierbei um eine dedizierte, eigens für das Notepad++-Projekt aufgesetzte Instanz handelt, was das Risiko von Cross-Site-Kontaminationen auf einem Shared-Server minimiert.

Betroffenheit & Erkennung (Indicators of Compromise—IOCS)

Welche Versionen sind verwundbar?

Für diesen spezifischen Lieferketten-Angriff sind alle Versionen von Notepad++ vor Version v8.8.9 verwundbar.

Wie erkenne ich, ob mein System infiziert wurde?

Da der Angriff hochgradig selektiv stattfand, sollten Administratoren Systeme anhand spezifischer Indikatoren (IoCs) überprüfen:

  • Dateien: Kontrollieren Sie das lokale %TEMP%-Verzeichnis. Ein starkes Indiz für eine Kompromittierung ist das Vorhandensein von verdächtigen ausführbaren Dateien mit Namen wie update.exe, updater.exe, AutoUpdater.exe oder AutoUpgrader.exe. Der reguläre Update-Prozess von Notepad++ verwendet diese Dateinamen standardmäßig nicht.
  • Prozesse: Prüfen Sie Ihre Endpoint-Logs (EDR) daraufhin, ob der legitime Updater (gup.exe) verdächtige Kindprozesse gestartet hat. Besondere Vorsicht ist geboten, wenn der Updater cmd.exe aufruft oder typische Ausspäh-Befehle (Reconnaissance) wie whoami, netstat -ano, systeminfo oder tasklist ausführt. Bei den beobachteten Angriffen leiteten die Hacker die Ergebnisse oft in einfache Textdateien (z. B. a.txt) um.
  • Netzwerk: Analysieren Sie die Netzwerkverbindungen. Ein klares Warnsignal sind ausgehende Verbindungen der Datei gup.exe zu anonymen File-Sharing-Diensten wie temp.sh (bekannte IP-Adresse: 51.91.79.17). Generell sollte jede Verbindung des Updaters zu anderen Domänen als den offiziellen Quellen (notepad-plus-plus.org, github.com oder release-assets.githubusercontent.com) blockiert werden.

Wo finden Leser tiefgehende Forensik-Daten?
  • Rapid7: Das Sicherheitsunternehmen hat eine ausführliche Analyse des Angriffs, der beteiligten Hackergruppe (vermutlich Lotus Blossom) wie der eingesetzten „Chrysalis-Backdoor“ inklusive konkreter Hash-Werte veröffentlicht.
  • Kaspersky/Securelist: Weitere tiefgehende forensische Informationen und zusätzliche IoCs zu dem Vorfall stellt Kaspersky auf seinem Securelist-Blog zur Verfügung.
  • GitHub (Sigma- und YARA-Regeln): Für die automatisierte Suche nach Bedrohungen in Unternehmensnetzwerken (z. B. für Microsoft Defender oder Sentinel) wurden Erkennungsregeln entwickelt. Auf GitHub finden Sie Sigma-Regeln zur Detektion von allgemeinen gup.exe-Anomalien sowie spezielle YARA-Regeln, um Komponenten der Schadsoftware aufzuspüren.

Bereinigung & Schutzmaßnahmen (Remediation)

Wie sichere ich mein Notepad++ jetzt ab?

Um Ihr System effektiv abzusichern, wird dringend empfohlen, die potenziell kompromittierte Update-Kette komplett zu umgehen:

  1. Deinstallieren Sie bestehende Versionen von Notepad++ vollständig.
  2. Laden Sie die aktuelle Version (empfohlen wird mindestens v8.9.6.2 oder neuer) manuell herunter.
  3. Beziehen Sie die Installationsdatei ausschließlich direkt von der offiziellen Webseite oder den offiziellen GitHub-Releases. Verwenden Sie für diesen Schritt auf keinen Fall den integrierten Updater!

Was wurde im Code geändert, damit das nicht wieder passiert?

Der interne Updater (WinGUp) wurde ab Version V8.8.9 sicherheitstechnisch gehärtet: Das Programm erzwingt nun die Verifizierung der digitalen Signatur und des Zertifikats der heruntergeladenen Installer-Dateien. Schlägt diese Integrationsprüfung fehl, bricht der Vorgang sofort ab. Als zusätzliche Sicherheitsbarriere wird das vom Update-Server gesendete Update-Manifest (die XML-Datei) frontan serverseitig signiert (XMLDSig).

Was sollten Admins bezüglich alter Zertifikate tun?

Da Notepad++ seit v8.8.7 offiziell mit einem legitimen Zertifikat von GlobalSign digital signiert wird, ist der Rückgriff auf den Windows-Zertifikatsspeicher nicht mehr nötig, da dieser nicht mehr benötigt wird und ein potenzielles Restrisiko darstellt.

Welche Übergangslösung gibt es, wenn kein Update möglich ist?

Falls ein sofortiges Einspielen des Patches in Ihre Umgebung nicht machbar ist, sollten Sie folgende Interim-Mitigation ergreifen:

  • Automatische Updates deaktivieren: Schalten Sie die automatische Update-Suche in den Einstellungen von Notepad++ aus.
  • Netzwerkzugriff blockieren: Verbieten Sie der Update-Datei gup.exe den Internetzugriff strikt auf Firewall-Ebene. Nutzen Sie im Unternehmen stattdessen ein zentralisiertes Paketmanagement (z. B. via SCCM oder baramundi).

Ausblick & »Das dicke Ende«: Der Bypass der Code-Schwachstelle CVE-2026-48800

Die Sicherheitsherausforderung bei Notepad++ endete leider nicht mit der Bereinigung der Server-Infrastruktur. Ein aktueller Fall zeigt, wie wichtig tiefgehende Code-Validierung ist.

1. Die ursprüngliche Schwachstelle (CVE-2026-48800)

In Notepad++ gibt es eine Datei namens shotcuts.xml, in der benutzerdefinierte Befehle für das »Ausführen«-Menü (Run menu) gespeichert werden. Der Code von Notepad++ liest den Inhalt des <Command>‑Tags über die Funktion NppXml::value(aNode)(in der Datei Parameters.cpp) ein und speichert ihn ungeprüft ab. Klickt der Nutzer dann auf diesen Eintrag im Menü, wird die Windows-Funktion ShellExecute (in RunDlg.cpp) aufgerufen, die den String blind als ausführbaren Pfad interpretiert.

Ein Angreifer kann einen versteckten Befehl in die shortcuts.xml einschleusen, der im Menü völlig harmlos aussieht (z. B. »System Update Check«), aber Schadcode ausführt:

<Command name="System Update Check" Ctrl="no" Alt="no" Shift="no" Key="0">calc.exe</Command>

Ergebnis: Anstatt eines Updates öffnet sich in diesem simplen Beispiel der Taschenrechner (calc.exe). In einem echten Angriff würde hier ein Pfad zu einer Schadsoftware stehen (Arbitrary Code Execution).

2. Der gescheiterte Patch und der Bypass in v8.9.6.1

Um dieses Problem zu beheben, bauten die Entwickler in Version 8.9.6.1 eine Sicherheitsprüfung namens isInTrustedDirectory() in die Datei RunDlg.cpp ein. Diese Funktion sollte prüfen, ob die auszuführende Datei in einem vertrauenswürdigen Windows-Verzeichnis liegt (wie C:\Windows\System32\ oder C:\Program Files\).

Der Denkfehler im Code: Die Funktion nutzt eine reine Präfix-Prüfung (ähnlich wie PathIsPrefix()), um zu schauen, ob der Anfang des Pfades mit einem der vertrauenswürdigen Verzeichnisse übereinstimmt. Der Code „kanonisiert“ den Pfad jedoch vorher nicht – er löst also Ordner-Rücksprünge wie ..\ nicht auf, bevor er prüft.

Angriffsvektor 1: Path Traversal (Pfadüberschreitung)

Ein Angreifer täuscht Notepad++ vor, dass die Datei im sicheren Verzeichnis System32 liegt, springt dann aber mit ..\ aus dem Ordner heraus in sein eigenes Download-Verzeichnis:

<Command name="Fake Command" Ctrl="no" Alt="no" Shift="no" Key="0">C:\Windows\System32\..\..\Users\[USERNAME]\Downloads\mimikatz.exe</Command>

Ergebnis: Der Code sieht das Präfix C:\Windows\System32\ und erlaubt die Ausführung ohne Warnung, obwohl am Ende die Schadsoftware mimikatz.exe aus dem Download-Ordner gestartet wird.

Angriffsvektor 2: Vertrauenswürdige Launcher (cmd.exe)

Selbst ohne Ordner-Rücksprünge kann der Filter umgangen werden, indem legitime, im sicheren Ordner liegende Programme wie cmd.exe oder powershell.exe genutzt werden, um andere Skripte aufzurufen:

<Command name="Fake Command" Ctrl="no" Alt="no" Shift="no" Key="0">cmd.exe /c calc.exe</Command>

Ergebnis: Da cmd.exe⁣ in ⁣⁣liegt, gilt der Befehl als sicher und wird sofort und unsichtbar (ohne Warn-Dialog) ausgeführt.

Die endgültige Lösung im Code

Dieser gefährliche Bypass wurde erst mit der Nachbesserung in Version 8.9.6.2 behoben. Die korrekte Fehlerbehebung für diesen Code liegt darin, Funktionen wie PathCanonicalize()oder GetFullPathNameW()zu verwenden. Diese wandeln den Pfad mit den ...\‑Sprüngen zuerst in den tatsächlichen, absoluten Zielpfad um, bevor die Überprüfung auf das vertrauenswürdige Verzeichnis stattfindet.

Dieser Fall verdeutlicht auf anschauliche Weise, dass selbst gut gemeinte Sicherheitspatches neue oder angewandelte Angriffsvektoren eröffnen können, wenn Validierungsmechanismen nicht tiefgreifend genug konzipiert sind. Bringen Sie Ihre Notepad++-Installation daher umgehend auf den neusten Stand (mindestens V8.9.6.2)!

Quellen

Die Analyse und Rekonstruktion dieses Sicherheitsvorfalls basiert auf den offiziellen Berichten der Entwickler, detaillierten Analysen von Cybersecurity-Unternehmen sowie technischen Sicherheitswarnungen (Advisories):

Offizielles Entwickler-Statement: »Notepad++ Project: Notepad++ hijacked by state-sponsored hackers«
Offizielle Stellungsnahme des Entwicklers Don Ho zum zeitlichen Ablauf (Juni bis Dezember 2025), dem Server-Infrastruktur-Vorfall und der anschließenden Migration zu einem neuen Provider.

Notepad++ Release Notes: »Notepad++ v8.8.9 release: Vulnerability-fix«
Dokumentation zur Härtung des Updaters (WinGUp) und der Einführung der zwingenden Signatur- und Zertifikatsprüfung.

Orca Security: »Notepad++ Supply Chain Attack: Update Hijack Analysis & Remediation«
Tiefgehende forensische Analyse des Man-in-the-Middle-Angriffs auf den WinGUp-Updater, Details zu den Zielsektoren (Telekommunikation/Finanzen in Asien), der Zuordnung zu Zirconium (Violet Typhoon) und spezifische Verzeichnis-IoCs (z. B. temp.sh\51.91.79.17).

Borns IT- und Windows-Blog: »Notepad++Update-Prozess von staatlichen Hackern seit Sommer 2025 gekapert«
Aufarbeitung des Vorfalls für den deutschsprachigen Raum, Einordnung der Akteure (Lotus Blossom) und Verweise auf die Shared-Hosting-Problematik.

Rapid7 & Kaspersky (Securelist): »Chrysalis-Backdoor & Threat Intelligence Reports«
Technische Forensik-Berichte zu eingesetztem Chrysalis-Backdoor sowie Bereitstellung von Sigma- und YARA-Regeln zur automatisierten Erkennung via GitHub.

GitHub Security Advisories: »CVE-2026-48800 & CVE-2026-48800 Patch Bypass«
Technische Dokumentation der Command-Injection-Schwachstelle über die Datei shortcuts.xml sowie des nachfolgenden Bypasses in Version 8.9.6.1 durch unvollständige Pfadvalidierung (..\..\).

Universität Mannheim: »IT-Sicherheitswarnung & Migrationsleitfaden zu Notepad++«
Sicherheitsleitfaden bezüglich der empfohlenen Deinstallations- und manuellen Migrationsprozesse für Enterprise-Umgebungen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert