De updatefunctie van Notepad++ is vorig jaar maandenlang misbruikt door (vermoedelijk) Chinese, door de staat gesteunde hackers. Dat bevestigt de ontwikkelaar van de populaire teksteditor in een officiële verklaring. De aanval bleef lange tijd onder de radar en richtte zich slechts op een beperkte groep gebruikers.
Volgens Notepad++ onderschepten de aanvallers updateverkeer en werden bepaalde updateverzoeken selectief omgeleid naar kwaadaardige servers. Daar kregen slachtoffers gemanipuleerde updatebestanden voorgeschoteld. De aanval maakte misbruik van een kwetsbaarheid in het updateproces bij oudere versies van Notepad++. Uit informatie van de hostingprovider die instond voor de update-infrastructuur blijkt dat de aanvallers erin slaagden een server te compromitteren die werd gebruikt door de Notepad++-updateapplicatie. Externe beveiligingsexperts die betrokken waren bij het onderzoek, stellen dat de aanval al in juni 2025 begon.
Volgens de ontwikkelaar was de operatie sterk gericht: slechts een select aantal gebruikers werd doorgestuurd naar infrastructuur van de aanvallers. Die gerichte methode wijst volgens meerdere onafhankelijke onderzoekers op een geavanceerde dreigingsactor. “Meerdere onafhankelijke beveiligingsonderzoekers hebben geconcludeerd dat de aanval waarschijnlijk afkomstig is van een Chinese, door de staat gesponsorde groep”, klinkt het in de verklaring van Notepad++. “Dat zou verklaren waarom de targeting zo uitzonderlijk selectief was.”
De aanvallers zouden het Notepad++-domein specifiek hebben geviseerd om misbruik te maken van onvoldoende updateverificatie in oudere versies van de software. In december bracht Notepad++ versie 8.8.9 uit, waarin een beveiligingslek in de WinGUp-updatecomponent werd aangepakt. Onderzoekers hadden vastgesteld dat deze updater in sommige gevallen kwaadaardige pakketten accepteerde in plaats van legitieme updates. Beveiligingsexpert Kevin Beaumont waarschuwde destijds dat minstens drie organisaties slachtoffer waren geworden van dergelijke update-hijacks. In die gevallen bleef het niet bij het aanbieden van gemanipuleerde updates: er volgde ook actieve verkenning van de getroffen netwerken.
Notepad++ verduidelijkt nu dat de aanval mogelijk werd nadat een hostingprovider in juni 2025 werd gecompromitteerd. Daardoor konden de aanvallers gerichte verkeersomleidingen uitvoeren. Begin september leek de toegang van de aanvallers tijdelijk te verdwijnen na een update van de serverkernel en firmware, maar dat bleek slechts van korte duur. Met eerder buitgemaakte interne service-credentials, die intussen niet waren gewijzigd, slaagden de hackers erin opnieuw toegang te krijgen. Pas op 2 december 2025 werd de inbraak definitief ontdekt en werd de toegang van de aanvallers afgesloten.
Sindsdien heeft Notepad++ alle updateverkeer verhuisd naar een nieuwe hostingprovider met strengere beveiliging. Daarnaast zijn alle mogelijk gecompromitteerde credentials vervangen, zijn misbruikte kwetsbaarheden verholpen en werden logbestanden grondig geanalyseerd om te bevestigen dat de kwaadaardige activiteiten zijn gestopt. Gebruikers en beheerders wordt aangeraden om extra beveiligingsmaatregelen te nemen, zoals het wijzigen van SSH-, FTP/SFTP- en MySQL-wachtwoorden, het controleren en opschonen van WordPress-beheerdersaccounts en het up-to-date houden van WordPress-installaties, inclusief plug-ins en thema’s.
Vanaf Notepad++ versie 8.8.9 controleert WinGUp de certificaten en digitale handtekeningen van installers en is het update-XML-bestand cryptografisch ondertekend. In versie 8.9.2, die naar verwachting binnen ongeveer een maand verschijnt, wil de ontwikkelaar verplichte certificaatverificatie afdwingen.
Of en hoe gebruikers kunnen nagaan of ze effectief slachtoffer zijn geworden, blijft voorlopig onduidelijk. Notepad++ liet niet weten hoe gebruikers dan precies kunnen merken dat ze gehackt werden. Ook een verzoek om extra informatie bleef onbeantwoord op het moment van publicatie.
Notepad++ is een gratis en open-source tekst- en code-editor en wordt wereldwijd door tientallen miljoenen Windows-gebruikers gebruikt. De zaak onderstreept opnieuw hoe aantrekkelijk software-updates zijn als aanvalsvector voor geavanceerde dreigingsactoren.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
