Die Notepad + + Community hat in dieser Woche eine Bestätigung eines Vorfalls erhalten, den viele bereits befürchteten: Seit einigen Monaten wurde der Update-Verkehr des Editors entführt und einige Benutzer erhielten manipulierte Update-Erscheinungen. Nach Angaben des Entwicklers selbst nutzte die Tatsache eine Schwäche bei der Integritätsprüfung des Update-Systems und erlaubte den Angreifern, die Anfragen an bösartige Server selektiv umzuleiten.
Die Quelle des Problems, nach interner Forschung und Zusammenarbeit mit externen Experten, stammt aus dem Juni 2025, als ein Hosting-Provider, der die Upgrade-Infrastruktur beherbergt, engagiert wurde. Diese Intrusion lieferte den Angreifern die technische Kapazität, nur für bestimmte Benutzer Update-Antworten abzufangen und zu ändern; es war keine massive und undiskriminierende Verteilung, sondern eine sehr selektive Kampagne.
Die konkrete Art und Weise, wie sie betrieben wurden, war es, ein geändertes Update XML und Pakete zu senden, die dem Update-Client (WinGup) von Notepad + + + legitim schienen. Es war möglich, weil alte Versionen des Systems nicht streng die Signatur und Zertifikate der Installateure und das Update Manifesto überprüfen. Im Anschluss an den Vorfall hat Notepad + + offizielle Informationen über das Geschehen und die getroffenen Maßnahmen veröffentlicht: die öffentliche Bekanntmachung des Projekts enthält den Zeitplan und die ergriffenen Aktionen.
Der technische Vektor war nicht nur eine offene Tür im Hosting: Als der Lieferant im September den Kernel und die Firmware gepatchte, verloren die Angreifer vorübergehend Zugriff, sondern konnte mit internen Anmeldeinformationen, die bereits ausgefiltert waren und die nicht erneuert worden waren, neu einsehen, was die Bedeutung rotierender Anmeldeinformationen nach einem Eindringen demonstriert. Diese Bedingung wurde bis zum 2. Dezember 2025 beibehalten, als der Lieferant schließlich die Lücke erkannte und den Zugang des Angreifers verringerte.
Zuschreibung ist nicht etwas, das leicht angekündigt wird, aber viele unabhängige Forscher haben darauf hingewiesen, dass das Verhalten des Gegners - Selektivität, Ziele und Raffinesse - passt zu Taktiken in Kampagnen im Zusammenhang mit chinesischen Staatsdarstellern. Diese Schlussfolgerung, die von mehreren Parteien repliziert wird, ist das eine Notepad + + Cites in seiner Erklärung als die Hypothese, die am meisten mit den beobachteten Tatsachen übereinstimmt.
Sicherheitsforscher wie Kevin Beaumont warnten öffentlich über Auswirkungen in mindestens drei Organisationen und beschrieben die manuelle Erkennungsaktivität in den nach anfänglichen Infektionen betroffenen Netzwerken. Für diejenigen, die die Arbeit von Spezialisten verfolgen wollen, die diese Arten von Vorfällen verfolgen, sammelt Kevin Beaumonts Seite viele nützliche Threads und Analysen: Kevinbeaumont.com. Die spezialisierten Medien haben auch den Fall abgedeckt und bieten eine Zusammenfassung, wie Intrusion und Reaktion entwickelt.
Notepad + ist ein kostenloses und offenes Quell-Tool mit zehn Millionen von Benutzern auf Windows, die jedes Problem in Ihrem Update-Ketten-Potential Auswirkungen jenseits einiger Maschinen macht. Genau aufgrund dieses Potenzials für den Umfang hat das Projekt alle Kunden zu einem neuen Hosting-Anbieter mit stärkeren Kontrollen, gebrochenen Anmeldeinformationen gebracht, die die ausgenutzten Sicherheitslücken beeinträchtigt und korrigiert werden könnten.
In technischer Hinsicht hat das Projekt bereits die Version 8.8.9 gestartet, die Zertifikatsprüfungen und Signaturen auf Installateure einführt und kryptographische Signatur auf das Update XML anwendet, was die Möglichkeit eines Zwischenakteurs, der schädliche Pakete bedient, drastisch reduziert, ohne erkannt zu werden. Darüber hinaus hat Notepad + + + angekündigt, dass in der nächsten Version 8.9.2 beabsichtigt, die Unterschriftsprüfung auf einer obligatorischen Grundlage zu zwingen, eine Maßnahme, die die Barriere für diesen Missbrauch erhöhen wird.
Dieser Vorfall ist eine praktische Erinnerung daran, warum Software-Lieferkettenschutz und gute Praktiken im Identitätsmanagement kritisch sind. Organisationen wie die US-Infrastruktur- und Cybersicherheitsagentur. Die US (CISA) bietet Anleitungen zum Sichern von Lieferketten und zur Minderung von Risiken kompromittierter Updates; es ist nützlich, sie zu überprüfen, um zusätzliche Kontrollen zu verstehen, die angewendet werden können: CISA - Lieferkette Sicherheit.
Wenn Sie ein Benutzer von Notepad + + sind, ist es am wichtigsten, die Version zu aktualisieren, die den Fehler korrigiert und die in Ihrer eigenen Infrastruktur angezeigten Anmeldeinformationen zu überprüfen. Notepad + und öffentliche Releases empfehlen unter anderem die Verlängerung von Passwörtern und Schlüsseln, die in Bereitstellungs- und Hosting-Diensten verwendet werden, die Überprüfung und Reinigung von Verwaltungskonten (z.B. auf WordPress, wenn verwendet, um Updates zu hosten), und sicherzustellen, dass kritische Plattformen automatische Updates anwenden und digitale Signaturen überprüfen.
Auf einer breiteren Ebene wird empfohlen, dass IT-Manager die Codesignatur und die Aktualisierung der Validierungsrichtlinien für alle kritischen Software übernehmen und Anmeldeinformationen Rotation und kontinuierliche Integritätsüberwachung implementieren. Die Unterzeichnung von Paketen und kryptographischen Validierungen sind Kontrollen, die die Möglichkeit, dass ein Intermediär mit Zugriff auf den Datentransport schädliche Software injizieren kann, deutlich verringern; Zertifizierungsunternehmen erklären im Detail, wie die Codesignatur funktioniert und warum es wichtig ist: DigiCert - Code Signing.
Schließlich, obwohl Notepad + + behauptet, schädliche Aktivität nach Rektifikationen und Migration gestoppt haben, die selektive Natur der Kampagne impliziert, dass einige bestimmte Organisationen möglicherweise weiter überwacht wurden, nachdem ihre Teams engagiert wurden. Wenn Sie glauben, dass Ihre Organisation unter den Betroffenen gewesen sein könnte, ist es ratsam, eine forensische Überprüfung von Protokollen und Endpunkten durchzuführen, um Indikatoren für die Seitenmäßigkeit zu suchen und im Zweifelsfall Profis in Reaktion auf Vorfälle zu kontaktieren, um den Umfang und das Heilmittel zu bewerten.
Die Lektion für alle ist klar: Die weit verbreiteten Werkzeuge sind nicht immun gegen gezielte Angriffe, und die Aufrechterhaltung robuster Prozesse der Signatur, Zugriffskontrolle und Rotation von Anmeldeinformationen ist ebenso wichtig wie das Patchen der Software. Die Notepad + + Seite und die spezialisierte Medienabdeckung sollten konsultiert werden, um den offiziellen Updates zu diesem Thema zu folgen. Bleping Computer wenn Einzelheiten und Nachverfolgung des Falles veröffentlicht wurden.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...