Der beliebte Texteditor Notepad++ reagiert auf einen gezielten Supply-Chain-Angriff und haertet seinen Auto-Update-Mechanismus grundlegend. Mit einem neuen Double-Lock-Ansatz kombiniert das Projekt nun zwei unabhängige kryptografische Prüfungen, um die Integrität und Authentizität von Updates deutlich robuster zu gewährleisten.
Supply-Chain-Angriff auf Notepad++: gezielte Kompromittierung des Update-Kanals
Laut einer gemeinsamen Analyse von Rapid7 und dem Notepad++-Team wurde die Update-Infrastruktur des Editors seit Juni 2025 von der aus China stammenden Gruppe Lotus Blossom für eine Software-Supply-Chain-Kampagne missbraucht.
Kern der Operation war nicht ein direkter Angriff auf die Notepad++-Entwickler, sondern die Kompromittierung des Hosting-Providers, der die Update-Server des Projekts betrieb. Statt alle Nutzer gleichzeitig zu treffen, leitete der Angreifer selektiv Anfragen bestimmter Zielsysteme auf eigene Server um, die den legitimen Update-Dienst nachahmten.
Über diese Infrastruktur verteilten die Angreifer einen eigens entwickelten Backdoor namens Chrysalis. Die Kampagne blieb bis zum 2. Dezember 2025 aktiv, bevor die verdächtige Aktivität erkannt und die bösartige Update-Kette unterbrochen wurde.
Warum der Angriff moeglich war: fehlende strenge Ende-zu-Ende-Verifikation
Die Untersuchung zeigte, dass ältere Notepad++-Versionen bei der Verifikation von Updates zu stark auf die Vertrauenswürdigkeit der Provider-Infrastruktur setzten. Der Auto-Updater führte keine ausreichenden, voneinander unabhängigen Prüfungen von heruntergeladenen Installationsdateien und Metadaten durch.
Solche Angriffe auf die Software-Lieferkette folgen einem bekannten Muster: Statt Endgeraete direkt zu kompromittieren, wird der vertrauenswürdige Distributionsweg als Einfallstor genutzt. Prominente Beispiele sind der Angriff auf SolarWinds Orion (2020) oder auf CCleaner (2017), bei denen offiziell signierte, aber manipulierte Updates an Kunden ausgeliefert wurden.
Die europäische Cybersicherheitsagentur ENISA berichtete bereits 2021 von einer Vervierfachung dokumentierter Supply-Chain-Angriffe innerhalb eines Jahres. In einem Großteil der Faelle wurde gezielt das Vertrauen in Updates, Build-Pipelines oder Repository-Infrastruktur ausgenutzt – genau der Angriffsvektor, der nun auch bei Notepad++ im Fokus stand.
Neue Sicherheitsarchitektur: Double-Lock fuer das Notepad++ Auto-Update
Erster Schritt in Version 8.8.9: Haertung des WinGUp-Komponenten
Als Reaktion auf die Vorfälle begann das Projekt bereits mit Version 8.8.9, den Auto-Updater WinGUp grundlegend zu ueberarbeiten. Zentrale Massnahme war die konsequente Prüfung von Zertifikat und Code-Signatur der heruntergeladenen Installationsdatei.
Dadurch wird verhindert, dass ein Angreifer – selbst bei erfolgreicher Manipulation des Netzwerkverkehrs – unbemerkt eine unsignierte oder mit einem fremden Zertifikat signierte Datei einschleusen kann. Nur Binärdateien, die mit dem erwarteten Herausgeberzertifikat signiert sind, werden als legitimes Update akzeptiert.
Parallel dazu begann Notepad++, den vom Update-Server gelieferten XML-Response kryptografisch zu signieren. Mittels XML Digital Signature (XMLDSig) werden Metadaten wie verfügbare Version, Download-URLs und weitere Parameter gegen Manipulation geschützt.
Zweiter Schritt in Version 8.9.2: vollstaendiger Double-Lock-Mechanismus
Mit Version 8.9.2 fuehrt Notepad++ einen vollwertigen Double-Lock-Mechanismus ein, der beide Schutzebenen kombiniert und logisch voneinander trennt. Das Update wird nun über zwei eigenständige Vertrauenskontrollen abgesichert:
1. Validierung des Installers per Signatur und Zertifikat. Der Client prüft, ob die heruntergeladene Update-Datei mit dem korrekten Herausgeberzertifikat signiert wurde und ob dieses Zertifikat gueltig ist (nicht gefälscht, nicht abgelaufen, nicht widerrufen).
2. Signierte Metadaten per XMLDSig. Der XML-Response des Update-Servers wird kryptografisch geprueft. Jede Veränderung von Versionsangabe, Download-URL oder weiteren Parametern fuehrt zum Scheitern der Signaturprüfung, womit das Update abgebrochen wird.
Durch die Kombination dieser beiden unabhängigen Vertrauenspunkte wird es für einen Angreifer erheblich schwieriger, den Update-Kanal erfolgreich auszunutzen. Selbst bei einer teilweisen Kompromittierung von Infrastruktur oder DNS ist eine konsistente Umgehung beider Prüfpfade deutlich aufwendiger.
Konkrete Empfehlungen fuer Unternehmen und Anwender
Die Entwickler von Notepad++ empfehlen allen Nutzern, zeitnah auf Version 8.9.2 oder hoeher zu aktualisieren und Installationsdateien ausschliesslich über die offizielle Projektseite notepad-plus-plus.org zu beziehen. Dies gilt besonders für Umgebungen mit hohem Schutzbedarf, etwa Entwicklungs- und Administrationssysteme oder Log-Analyse-Plattformen.
— Nur offizielle Bezugsquellen nutzen. Der Download von Spiegelservern, inoffiziellen Archiven oder nicht autorisierten Repositories erhoeht das Risiko manipulierter Pakete erheblich.
— Digitale Signaturen und Hashwerte prüfen. In Unternehmensumgebungen sollten Prüfungen von Code-Signaturen und kryptografischen Hashes kritischer Software automatisiert und in bestehende Endpoint- und Patch-Management-Prozesse integriert werden.
— Rechte des Auto-Updaters begrenzen. Auto-Update-Komponenten sollten nach dem Prinzip der geringsten Privilegien konfiguriert werden. Muss ein Updater nicht mit Administratorrechten laufen, sollten diese auch nicht vergeben werden, um den Schaden im Falle einer Kompromittierung zu minimieren.
— Supply-Chain-Risiken strategisch managen. Frameworks wie NIST SP 800‑161 und Empfehlungen von ENISA koennen als Grundlage dienen, um ein strukturiertes Software-Supply-Chain-Risikomanagement aufzubauen: von der Auswahl der Lieferanten über Vertragsklauseln bis zu technischen Kontrollen und kontinuierlichem Monitoring.
Die Haertung des Auto-Update-Mechanismus von Notepad++ zeigt, dass selbst etablierte Open-Source-Projekte ihre Vertrauensmodelle kontinuierlich hinterfragen und modernisieren muessen. Supply-Chain-Angriffe bleiben einer der effektivsten und gleichzeitig schwer erkennbaren Angriffsvektoren. Wer heute Software entwickelt oder einsetzt, sollte mehrstufige Verifikationsmechanismen, konsequentes Code-Signing und unabhängige Integritätskontrollen als Standard begreifen – und die eigenen Update-Prozesse daran messen.
