Beobachtungen
Notepad++ gab in einer Stellungnahme bekannt, dass es einem Angreifer gelungen ist, das Update-Verfahren von Notepad++ zu kompromittieren. Der Programm-Code der Software an sich wurde bei dem Angriff nicht kompromittiert. Der Angriffszeitraum erstreckte sich dabei von Juni 2025 bis zum 2. Dezember 2025.
Methoden
Den Angreifern gelang es, die Infrastruktur des Hosting-Providers erfolgreich anzugreifen. Dadurch waren sie in der Lage, Update Anfragen an von ihnen kontrollierte Server umzuleiten. Anschließend erfolgte die Infektion über einen manipulierten Installer, der durch DLL-Sideloading die Backdoor „Chrysalis“ nachlud. Chrysalis ermöglicht den Angreifern diverse Fernzugriffsmöglichkeiten, beispielsweise das Ausführen von Shell-Code oder das Ausleiten von Daten.
Attribution
Der IT-Sicherheitsdienstleister Rapid7 ordnet den Angriff der APT-Gruppierung Lotus Blossom zu. Dabei handelt es sich um einen Cyberakteur mit Bezügen zum chinesischen Staat. Lotus Blossom wurde bereits in der Vergangenheit mit Cyber-Spionagekampagnen gegen Regierungs- und Telekommunikationsorganisationen in Verbindung gebracht. Aufgrund der hohen Popularität und Verbreitung von Notepad++ könnten auch Ziele in Deutschland ins Visier von Lotus Blossom geraten.
Empfehlungen
Notepad++ empfiehlt all seinen Nutzern die Software manuell auf die Version 8.9.1 zu aktualisieren. Darüber hinaus stellt Rapid7 einen ausführlichen Bericht sowie zahlreiche IOCs zur Verfügung. Wir raten daher allen Stellen, die Notepad++ einsetzen, die Handlungsempfehlungen des Herstellers und des IT-Sicherheitsdienstleister so schnell wie möglich umzusetzen und die eigenen Systeme anhand der IOCs auf Betroffenheit zu überprüfen.