Was war los?
Als langjähriger Nutzer und IT-Interessierter war ich überrascht, als Anfang Februar 2026 mehrere Sicherheitsportale über einen ernstzunehmenden Vorfall bei Notepad++ berichteten. Nicht etwa ein simpler Bug, sondern ein gezielter Angriff auf die Update-Infrastruktur des beliebten Open-Source-Editors wurde öffentlich gemacht.
Notepad++ ist ein weit verbreiteter Text- und Quellcode-Editor – viele Entwickler, aber auch IT-Leute wie ich nutzen ihn regelmäßig. Dass gerade seine Update-Funktion missbraucht wurde, zeigt, wie raffiniert moderne Cyberangriffe heute ablaufen können.
🔍 Was ist passiert?
Zwischen Juni und Dezember 2025 haben Angreifer die Infrastruktur des Notepad++-Update-Servers kompromittiert. Sie nutzten offenbar nicht direkt eine Schwachstelle im Editor selbst, sondern die Hosting-Umgebung und die Art und Weise, wie ältere Versionen der Update-Funktion („WinGUp“) Signaturen und Zertifikate prüften.
Dadurch konnten Update-Anfragen von bestimmten Nutzern umgeleitet werden – statt legitimer Updater-Downloads gab es manipulierte Dateien von einem Server der Angreifer. Diese enthielten unter anderem eine bisher unbekannte Backdoor mit dem Codenamen „Chrysalis“.
Wer steckt dahinter?
Mehrere Sicherheitsexperten und Analysten sehen den Angriff nicht als Zufall, sondern als geplante staatlich unterstützte Aktion. Die Gruppe „Lotus Blossom“, die mit China in Verbindung gebracht wird, wurde als wahrscheinlich verantwortlich eingestuft. Diese Gruppe ist seit vielen Jahren aktiv und für gezielte Cyber-Spionage bekannt.
Interessant: der Angriff war nicht auf alle Nutzer ausgerichtet – die Manipulation betraf nur ausgewählte Ziele, was auf eine gezielte Spionagekampagne hindeutet und nicht auf einen breit angelegten Massenangriff.
🧪 Wie konnte das passieren?
Laut dem Entwicklerteam lag der Angriff auf Ebene der Hosting-Infrastruktur und nicht im Quellcode von Notepad++ selbst. Die alte Update-Routine war technisch angreifbar, weil sie nicht alle nötigen Signatur- und Zertifikatsprüfungen erzwang. Sobald die Netzwerkverbindung manipuliert wurde, konnte der Angreifer die Update-Anfragen umleiten.
Das heißt: Die Software war sicher, aber der Verteilungsweg war es nicht – ein klassischer Supply-Chain-Angriff.
🛠️ Wie wurde der Vorfall behoben?
Seit Dezember 2025 ist die Schwachstelle durch Updates behoben:
Notepad++ hat seine Update-Verifikation deutlich verbessert und nutzt jetzt ausschließlich gültige Zertifikate mit strengerer Signaturprüfung.
Der Server-Hoster wurde gewechselt und alle Zugangsdaten wurden erneuert.
Wenn du also Notepad++ nutzt: Stelle sicher, dass du mindestens Version 8.8.9 oder höher installiert hast, und lade Updates nur von der offiziellen Webseite.
📌 Fazit
Für mich zeigt dieser Vorfall zwei Dinge ganz klar:
Software-Supply-Chain-Angriffe sind kein abstraktes Risiko mehr, sie passieren tatsächlich und treffen auch weit verbreitete Tools.
Selbst Projekte mit großer Community und starker Reputation können Opfer solcher Angriffe werden, wenn Update-Mechanismen oder Hosting-Infrastruktur nicht ausreichend geschützt sind.
Als Nutzer und IT-Profi macht mich das nachdenklich – aber es zeigt auch, wie wichtig transparente Sicherheitskommunikation und schnelle Reparaturmaßnahmen sind, wenn so etwas passiert.
🔎 Quellen
„Notepad++ Hosting Breach Attributed to China-Linked Lotus Blossom Hacking Group“ – The Hacker News (Feb 3, 2026)
„China-based espionage group compromised Notepad++ for six months“ – CyberScoop (Feb 2, 2026)
„Chinese Hackers Hijack Notepad++ Updates for 6 Months“ – DarkReading (Feb 2, 2026)