Notepad++ kompromittiert – Wie ein Software-Hack monatelang unentdeckt blieb
Es beginnt nicht mit einem Virus, sondern mit einem Update. Millionen Nutzer weltweit vertrauen täglich auf Notepad++, einen der beliebtesten Texteditoren für Windows. Doch genau dieses Vertrauen wurde ausgenutzt. Im Februar 2026 wurde öffentlich bekannt, dass die Update-Infrastruktur von Notepad++ über Monate hinweg kompromittiert war – unbemerkt, gezielt und hochprofessionell.
Was zunächst wie ein gewöhnlicher Softwarefehler wirkte, entpuppte sich als einer der gravierendsten Angriffe auf Open-Source-Infrastruktur der letzten Jahre. Angreifer hatten es geschafft, manipulierte Updates auszuliefern, ohne dass Nutzer oder Entwickler dies bemerkten. Die Frage lautet nicht mehr ob – sondern wie lange, wie gezielt und mit welchem Ziel.
Der verdeckte Einstieg
Die Kompromittierung begann bereits im Juni 2025. Angreifer verschafften sich Zugriff auf den Server, über den Notepad++ seine Update-Informationen ausliefert. Statt den offiziellen Download-Link bereitzustellen, wurde bei ausgewählten Nutzern eine Umleitung auf fremde Server vorgenommen.
Besonders perfide: Die manipulierten Installationsdateien wurden vom Update-Programm von Notepad++ ohne Sicherheitsprüfung akzeptiert. Weder Zertifikate noch digitale Signaturen wurden kontrolliert. Damit war es möglich, beliebigen Schadcode über den offiziellen Update-Mechanismus einzuschleusen – direkt in vertrauenswürdige Systeme.
Monatelang unentdeckt
Der Angriff blieb etwa sechs Monate lang verborgen. Erst Ende 2025, durch ungewöhnliche Netzwerkaktivitäten und interne Prüfungen, wurde der Missbrauch entdeckt. Zu diesem Zeitpunkt hatten die Angreifer bereits tiefen Zugriff auf die Infrastruktur und konnten gezielt einzelne Nutzer kompromittieren – offenbar mit strategischem Fokus auf Unternehmen in Ostasien.
Die selektive Vorgehensweise spricht nicht für Cyberkriminalität im klassischen Sinne, sondern für staatlich gesteuerte Spionage. Sicherheitsexperten führen den Angriff auf eine chinesische APT-Gruppe zurück, die unter Namen wie „Lotus Blossom“ oder „Violet Typhoon“ bekannt ist.
Die technische Schwachstelle
Im Zentrum des Vorfalls stand eine gravierende Schwachstelle im Update-Tool „WinGUp“, das Notepad++ seit Jahren nutzt. Bis einschließlich Version 8.8.8 prüfte das Programm nicht, ob die heruntergeladenen Installationsdateien authentisch oder manipuliert waren. Diese Lücke wurde später als CVE-2025-15556 registriert.
Das bedeutete: Jeder, der den Update-Traffic abfangen oder umleiten konnte, war in der Lage, Schadsoftware unter dem Deckmantel eines offiziellen Updates zu verbreiten – ein Albtraum für jede Software-Sicherheitsarchitektur.
Reaktion der Entwickler
Nach Aufdeckung des Vorfalls reagierte das Notepad++-Team umgehend. Die komplette Infrastruktur wurde auf neue Server migriert, der Update-Mechanismus überarbeitet und mit Signatur- und Zertifikatsprüfungen versehen. Ab Version 8.8.9 werden Updates nur noch akzeptiert, wenn ihre Echtheit kryptografisch bestätigt ist.
In öffentlichen Stellungnahmen entschuldigte sich der Entwickler bei der Community und forderte alle Nutzer dringend auf, ihre Installation zu aktualisieren. Zudem wurden alte, selbstsignierte Root-Zertifikate aus dem System entfernt, um zukünftigen Missbrauch zu verhindern.
Empfehlungen für Nutzer
Allen Nutzern wird empfohlen, sofort auf die aktuelle Version von Notepad++ (mindestens 8.9.1 oder höher) zu aktualisieren – vorzugsweise über den direkten Download von der offiziellen Webseite oder von GitHub.
Wer Notepad++ im Zeitraum von Juni bis Dezember 2025 aktualisiert hat, sollte sein System auf verdächtige Aktivitäten überprüfen, insbesondere auf ungewöhnliche Netzwerkverbindungen, unbekannte Prozesse oder Dateien im temporären Verzeichnis.
Ein Angriff auf Vertrauen
Dieser Vorfall zeigt eindrücklich, wie verwundbar selbst etablierte Open-Source-Projekte sein können, wenn zentrale Infrastruktur kompromittiert wird. Der Angriff richtete sich nicht nur gegen Software – sondern gegen Vertrauen. Vertrauen in Updates. Vertrauen in Open Source. Vertrauen in digitale Sicherheit.
Die Lehre daraus ist klar: Sicherheitsmechanismen dürfen nicht optional sein. Sie müssen der Standard sein. Und sie müssen regelmäßig überprüft werden – bevor Angreifer es tun.