Zum Inhalt springen
WISSEN BERATUNG

Blog · 3. Februar 2026 · Tobias Wissen

Notepad++-Hack: was beim Angriff auf die Update-Infrastruktur wirklich passiert ist

Supply-Chain-Angriff auf Notepad++: Wie Angreifer monatelang Updates manipulierten, warum nur ausgewählte Nutzer betroffen waren und was kleine Betriebe daraus lernen.

Notepad++-Hack: was beim Angriff auf die Update-Infrastruktur wirklich passiert ist

Anfang Februar 2026 berichteten mehrere Sicherheitsportale über einen ernsten Vorfall bei Notepad++, dem weit verbreiteten Open-Source-Editor. Kein simpler Bug, sondern ein gezielter Angriff auf die Update-Infrastruktur. Ich nutze das Tool selbst seit Jahren, deshalb hier eine nüchterne Einordnung, was passiert ist und was man mitnehmen sollte.

Was passiert ist

Zwischen Juni und Dezember 2025 kompromittierten Angreifer die Server-Infrastruktur hinter den Notepad++-Updates. Sie nutzten nicht eine Lücke im Editor selbst, sondern die Hosting-Umgebung und die Art, wie die ältere Update-Funktion (“WinGUp”) Signaturen und Zertifikate prüfte. Dadurch ließen sich Update-Anfragen ausgewählter Nutzer umleiten: Statt der echten Datei kam eine manipulierte von einem Server der Angreifer, mit einer bis dahin unbekannten Backdoor namens “Chrysalis”.

Wer dahintersteckt und wen es traf

Sicherheitsanalysten ordnen den Angriff einer staatlich unterstützten Gruppe zu, die mit China in Verbindung gebracht wird (“Lotus Blossom”), bekannt für gezielte Cyber-Spionage. Wichtig: Der Angriff war nicht breit gestreut. Manipuliert wurden nur ausgewählte Ziele. Das spricht für eine gezielte Spionagekampagne, nicht für einen Massenangriff.

Warum das möglich war

Laut Entwicklerteam lag das Problem auf Ebene der Hosting-Infrastruktur, nicht im Quellcode. Die alte Update-Routine erzwang nicht alle nötigen Signatur- und Zertifikatsprüfungen. Wurde die Netzwerkverbindung manipuliert, ließen sich die Update-Anfragen umleiten. Die Software war also sicher, der Verteilungsweg nicht. Ein klassischer Supply-Chain-Angriff.

Was behoben wurde

Seit Dezember 2025 ist die Schwachstelle geschlossen:

  • Strengere Signatur- und Zertifikatsprüfung in der Update-Verifikation.
  • Wechsel des Server-Hosters, alle Zugangsdaten erneuert.

Wer Notepad++ nutzt: Stellen Sie sicher, dass mindestens Version 8.8.9 installiert ist, und laden Sie Updates nur von der offiziellen Seite.

Was kleine Betriebe daraus lernen

  1. Supply-Chain-Angriffe sind real, nicht abstrakt. Sie treffen auch verbreitete, gut beleumundete Tools.
  2. Der Verteilungsweg ist Teil der Sicherheit. Es reicht nicht, dass eine Software sauber programmiert ist, der Weg zum Rechner muss ebenso geschützt sein.
  3. Updates nur aus der Originalquelle, und ein wachsames Auge auf die Software-Versionen im Betrieb. Eine schlichte Inventarliste, wer was installiert hat, ist hier schon halbe Miete.

Wenn Sie wissen wollen, welche Software in Ihrem Betrieb auf veralteten, angreifbaren Ständen läuft: Ich mache mit Ihnen eine kurze, ehrliche Bestandsaufnahme.

Tobias Wissen

Inhaber, WISSEN BERATUNG

→ Kostenfreies Erstgespräch vereinbaren

Quellen: The Hacker News, CyberScoop und DarkReading, jeweils Anfang Februar 2026.

#IT-Sicherheit #Supply-Chain #Notepad++ #Mittelstand

← Zur Blog-Übersicht