Notepad++-Entwickler Don Ho bestätigte, dass Hacker im Jahr 2025 mehrere Monate lang den Update-Mechanismus der Software gekapert haben. Der Angriff ereignete sich zwischen Juni und Dezember 2025 und Ho schrieb ihn Hackern zu, die mit der chinesischen Regierung in Verbindung stehen. Er zitierte Analysen von Sicherheitsexperten, die Malware-Payloads und Angriffsmuster untersuchten, und wies darauf hin, dass dies die äußerst selektive Ausrichtung der Kampagne erkläre.
Rapid7 untersuchte den Vorfall und identifizierte die Bedrohungsakteure als Lotus Blossom, eine langjährige Spionagegruppe mit Verbindungen zu China. Die Gruppe zielt auf die Sektoren Regierung, Telekommunikation, Luftfahrt, kritische Infrastruktur und Medien ab. Notepad++ ist ein beliebter Open-Source-Texteditor mit mehr als zwei Jahrzehnten Geschichte und zig Millionen Downloads weltweit, auch von Mitarbeitern in Organisationen auf der ganzen Welt.
Der Sicherheitsforscher Kevin Beaumont entdeckte den Cyberangriff erstmals im Dezember 2025. Er berichtete, dass Hacker eine kleine Anzahl von Organisationen mit Interessen in Ostasien kompromittiert hätten, nachdem Benutzer eine infizierte Version der Software installiert hatten. Beaumont gab an, dass die Angreifer „praktischen“ Zugriff auf die Computer der Opfer erlangt hätten, auf denen die gekaperten Notepad++-Updates ausgeführt wurden.
Ho hat den Angriffsmechanismus in einem am Montag veröffentlichten Blogbeitrag detailliert beschrieben. Die Website von Notepad++ wurde auf einem gemeinsam genutzten Server gehostet. Die Angreifer zielten gezielt auf die Webdomäne und nutzten einen Softwarefehler aus, um einige Benutzer auf einen von den Hackern kontrollierten bösartigen Server umzuleiten. Dies ermöglichte die Bereitstellung bösartiger Updates für Benutzer, die Software-Updates anforderten. Die Umleitung wurde fortgesetzt, bis Ho den Fehler im November 2025 behob und den Zugriff der Hacker Anfang Dezember 2025 beendete.
Ho teilte Protokolle mit, aus denen hervorgeht, dass die Angreifer versuchten, die behobene Sicherheitslücke erneut auszunutzen, die Bemühungen scheiterten jedoch nach dem Patch. In einer E-Mail an TechCrunch sagte Ho, sein Hosting-Anbieter habe bestätigt, dass der gemeinsam genutzte Server kompromittiert sei, habe jedoch nicht offengelegt, wie es zu dem ersten Verstoß gekommen sei.
Ho entschuldigte sich für den Vorfall und forderte die Benutzer auf, die neueste Version von Notepad++ herunterzuladen, die die Fehlerbehebung enthält.
Der Notepad++-Cyberangriff ähnelt dem SolarWinds-Angriff 2019–2020. Russische Regierungsspione haben die Server von SolarWinds gehackt und eine Hintertür in Software-Updates für IT- und Netzwerkverwaltungstools eingebaut, die von Fortune-500-Organisationen, darunter US-Regierungsbehörden, verwendet werden. Der Kompromiss betraf Behörden wie das Heimatschutzministerium und die Ministerien für Handel, Energie, Justiz und Staat. Nachdem Kunden die infizierten Updates installiert hatten, ermöglichte die Hintertür russischen Spionen den Zugriff auf Netzwerke.
