ZURÜCK ZU NACHRICHTEN
ForschungNiedrig

Chinesische APT nutzt Notepad++-Lieferkette in gezieltem Angriff aus

2 Min. LesezeitQuelle: Schneier on Security

Eine chinesische staatlich unterstützte Hackergruppe kompromittierte die Update-Infrastruktur von Notepad++ in einem ausgeklügelten Supply-Chain-Angriff. Betroffen sind Versionen vor 8.9.1.

Chinesische APT nutzt Notepad++-Lieferkette in gezieltem Angriff aus

Eine chinesische staatlich unterstützte Bedrohungsgruppe (APT) hat die Update-Infrastruktur von Notepad++ in einem hochentwickelten Supply-Chain-Angriff kompromittiert. Dabei wurden trojanisierte Versionen des beliebten Texteditors an ausgewählte Ziele ausgeliefert. Die Sicherheitslücke bestand fast sechs Monate lang, und die Angreifer behielten sogar drei Monate nach ersten Gegenmaßnahmen Zugriff auf interne Dienste.

Technische Details

Der Angriff nutzte unzureichende Update-Verifizierungsmechanismen in älteren Notepad++-Versionen aus. Laut Incident-Respondern:

  • Die Infrastruktur des ungenannten Hosting-Providers blieb bis zum 2. September 2025 kompromittiert
  • Die Angreifer behielten bis zum 2. Dezember 2025 Zugangsdaten zu internen Diensten, was die Umleitung von Update-Traffic auf schädliche Server ermöglichte
  • Ereignisprotokolle zeigen fehlgeschlagene Re-Exploit-Versuche nach dem Patchen der Schwachstellen
  • Die Bedrohungsakteure zielten gezielt auf die Notepad++-Domain ab, um veraltete Update-Verifizierungsmechanismen zu umgehen

Offizielle Stellen von Notepad++ bestätigten, dass nur Versionen vor 8.9.1 für diesen Supply-Chain-Angriff anfällig sind. Die Gesamtzahl der betroffenen Nutzer wurde nicht bekannt gegeben, jedoch betonte das Unternehmen, dass der Angriff "hochgradig gezielt" und nicht breitflächig erfolgte.

Auswirkungen-Analyse

Dieser Vorfall zeigt die wachsende Raffinesse von Supply-Chain-Angriffen durch Advanced Persistent Threats (APTs). Zu den Hauptrisiken zählen:

  • Selektive Zielauswahl: Angreifer konnten Malware an bestimmte Organisationen oder Einzelpersonen ausliefern, während legitime Updates für andere Nutzer unverändert blieben
  • Langfristige Persistenz: Das sechsmonatige Kompromittierungsfenster ermöglichte umfassende Aufklärung und Payload-Auslieferung
  • Update-Hijacking: Die Fähigkeit, Update-Traffic auch nach ersten Gegenmaßnahmen umzuleiten, unterstreicht die Herausforderungen bei der vollständigen Absicherung von Software-Verteilungskanälen

Empfehlungen

Sicherheitsteams sollten:

  1. Sofort überprüfen, ob alle Notepad++-Installationen auf Version 8.9.1 oder neuer aktualisiert sind
  2. Systeme auf Kompromittierungszeichen prüfen, insbesondere solche mit älteren Versionen
  3. Update-Mechanismen anderer kritischer Software überprüfen, um ähnliche Verifizierungslücken zu identifizieren
  4. Auf ungewöhnliches Update-Verhalten achten, z. B. unerwartete Weiterleitungen oder Zertifikatsänderungen
  5. Code-Signing-Verifizierung für alle Software-Updates als zusätzliche Sicherheitsmaßnahme implementieren

Das Notepad++-Team hat keine spezifischen Indicators of Compromise (IOCs) veröffentlicht, rät Unternehmen jedoch, jedes unerwartete Update-Verhalten als potenziell bösartig zu behandeln.

Teilen

TwitterLinkedIn