Wer zwischen Juni und Dezember 2025 bei der Update-Aufforderung brav auf "Ja" geklickt hat, hat eventuell nicht nur die neueste Version, sondern auch einen blinden Passagier installiert. Die Analyse zeigt: Hier waren keine Amateure am Werk, sondern Profis mit langem Atem und Zugriff auf die Server-Infrastruktur.
Tech-Briefing: Der digitale Einbruch
- Dauer: Juni 2025 bis 2. Dezember 2025 (ein verdammt langes Zeitfenster).
- Angreifer: Mutmaßlich eine staatliche Gruppe aus China (APT).
- Der Trick: Server-Infrastruktur beim Hoster infiltriert und Update-Traffic umgeleitet.
- Schwachstelle: Notepad++ vertraute blind auf das, was der Update-Server flüsterte.
- Die Kur: Umzug auf neuen Hoster, XMLDSig und strikte Signatur-Checks.
- To-Do: Manuelles Update auf v8.9.1+ (traue keinem automatischen Frieden vor v8.8.9).
Der lautlose Raubzug: Wie man einen Webserver "besitzt"
Die Angreifer haben nicht etwa den Code von Notepad++ auf GitHub korrumpiert – das wäre zu auffällig gewesen. Stattdessen haben sie sich im Shared Hosting des Projekts eingenistet. Selbst als der Provider im September 2025 per Kernel-Update die Haustür abschloss, hatten die Hacker längst die Zweitschlüssel (Credentials für interne Dienste) eingesteckt.
Bis zum 2. Dezember 2025 konnten sie so den Traffic zur getDownloadUrl.php manipulieren. Das Perfide: Sie haben nicht mit der Gießkanne gearbeitet. Die Angriffe waren hochselektiv. Nur wer ins Beuteschema passte, bekam das "Special Update" serviert. Der Rest der Welt sah ein völlig normales Notepad++.
WinGUp: Ein updater mit zu viel Gottvertrauen
Das Problem war der Updater namens WinGUp. In älteren Versionen war dieser ein bisschen zu naiv für die heutige Welt:
- WinGUp fragt: "Gibt's was Neues?"
- Ein (gekapertes) XML-Manifest antwortet: "Klar, hier ist der Link zum Glück!"
- WinGUp lädt die Datei herunter und führt sie aus – ohne zu prüfen, ob die Datei wirklich von Don Ho (dem Entwickler) signiert wurde oder von jemandem, der nur so tut als ob.
Merke: Ein Update ohne Signaturprüfung ist wie ein Paket von einem Fremden anzunehmen, der behauptet, dein Onkel zu sein, während er eine Sturmmaske trägt.
Die digitale Festung: Was sich jetzt ändert
Entwickler Don Ho hat die Reißleine gezogen. Notepad++ ist auf einen neuen, gehärteten Server umgezogen, aber die wahre Magie passiert im Code. Mit v8.8.9 prüft der Editor endlich das Zertifikat und die Signatur des Installers.
In der kommenden v8.9.2 wird der Sack endgültig zugemacht: Dann kommt XMLDSig (XML Digital Signature) zum Einsatz. Damit wird das Antwort-Manifest des Servers selbst signiert. Wenn ein Hacker dann noch einmal den Server kapert und das Manifest ändert, merkt der Client sofort, dass der Schwindel nicht zum kryptografischen Siegel passt.
Was du jetzt tun musst (außer kurz fluchen)
Wenn du noch auf einer uralten Version hängst: Hör auf zu lesen und update manuell. Lade dir die Version 8.9.1 direkt von der offiziellen Seite herunter. Verlass dich nicht auf den internen Updater, solange du noch auf einer pre-8.8.9 Version bist – sicher ist sicher.
# Für die Skeptiker: So prüfst du, ob dein Notepad++ echt ist
Get-AuthenticodeSignature "C:\Program Files\Notepad++\notepad++.exe"
# Achte auf: Status = Valid und Signer = 'Notepad++'Der Vorfall ist eine bittere Erinnerung daran, dass auch Open-Source-Legenden nur so sicher sind wie die Infrastruktur, auf der sie schlafen. Don Ho verabschiedet sich mit einem "Fingers crossed" – wir hoffen mal, dass die Hacker diesmal draußen bleiben.
Quelle: notepad++